Datenschutz

Amazon: Nachlässigkeiten bei der Kennwortabfrage

amazon_gains_cloud_security
Quelle: SecurityProNews

Wie heise online heute berichtet gibt es wohl einige Unstimmigkeiten bei Amazons Kennwortabfrage. So können sich manche Benutzer erfolgreich einloggen, indem sie ihr Passwort zweimal zusammenhängend eintippen. Das Phänomen tritt wohl vor allem bei älteren Passwörtern oder Passwörtern auf, die exakt 8 Zeichen lang sind. So konnten sich manche heise online Redakteure auch einloggen, obwohl sie an ihr Passwort zusätzlich „123“ angehängt hatten. Bisher wurden folgende Szenarien identifiziert:

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

  • Kennwort mit 8 Zeichen: Testen, ob man sich auch durch anhängen beliebiger zusätzlicher Zeichen (z.B. „123“) einloggen kann.
  • Älteres Passwort mit mehr als 8 Zeichen: Evtl. kann man sich auch durch die Eingabe der ersten 8 Zeichen einloggen.

Betroffene Benutzer sollten umgehend ihr Kennwort ändern. Von Amazon gibt es diesbezüglich bisher noch keine Stellungnahme. Schon in der Vergangenheit gab es Unregelmäßigkeiten bei der Authentifizierung. So hatte heise online schon 2011 aufgedeckt, dass die Kennwortabfrage nicht zwischen Groß- und Kleinschreibung unterschied.

Weitersagen und Unterstützen. Danke!
6 Kommentare
  1. Wenn ich raten sollte – das ist derselbe Bug wie 2011.

    Alle alte nicht geänderten Passwörter sind betroffen. Alte Passwörter werden auf 8 Zeichen gekürzt und in Kleinbuchstaben konvertiert.

    Jeder, der in den letzten 3 Jahren sein Amazon Passwort geändert hat, sollte davon nicht betroffen sein.

  2. das heißt doch eigentlich, dass sie die Passwörter im Klartext speichern oder? Ich glaube kaum, dass für alle Kombinationen aus Groß- und Kleinschreibung hashwerte erzeugt werden…
    Passwörter im Klartext zu speichern sollte unter strafe gestellt werden, das ist einfach nur fahrlässig…

    1. Nicht unbedingt. Das wäre sicher der worst case, wenn sie die PWs im Klartext abspeichern. Das geringere Übel wäre das von Mirko beschriebene.

  3. Naja, von Entdeckung der fehlenden Unterscheidung zwischen Groß- und Kleinschreibung kann man selten reden. so etwas wird dem geübten oder ausgebildetem Auge recht schnell klar.

    Das machen immer noch viele Firmen, z.B., Blizzard. Nicht weniger schlimm ist auch die starke Beschränkung der Passwortlänge oder der Zeichenauswahl, was noch häufiger oder gar Standard ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.