Die Anmelde-Server der Online-Shopping-Site Amazon akzeptieren bei einigen Kundenkonten auch falsche Kennwörter. Das Problem betrifft nicht nur die deutsche Amazon-Website. Einem Leser waren Unregelmäßigkeiten bei der Kennworteingabe aufgefallen. Versehentlich hatte Bernard B. sein Kennwort zweimal hintereinander eingetippt, "Weiter" angeklickt und war dann trotzdem angemeldet. Das Kennwort des Lesers umfasste exakt acht Zeichen. Egal, womit er es verlängerte – Amazon ließ ihn rein.
Nachdem wir das Problem zuerst nicht reproduzieren konnten, überprüfte heise Security den Sachverhalt durch einen Aufruf an Kollegen mit einem Amazon-Konto. Die meisten waren nicht betroffen, doch immerhin 4 von etwa 30 Kollegen konnten das Problem nachvollziehen. Drei von ihnen nutzten ebenfalls acht Zeichen lange Kennwörter.
Der Ausreißer war ein 11 Zeichen langes Kennwort. Hier stellte sich heraus, dass Amazon das Kundenkonto des betroffenen Kollegen auch öffnete, wenn bis zu drei Zeichen wegließ. Beim Anlegen seines Kontos hatte Amazon offenbar von vornherein nur die ersten acht Stellen des von ihm eingegebenen Kennworts gespeichert.
Über die Ursache dieses Phänomens kann man nur spekulieren. Die Pressestelle von Amazon.de wollte den Missstand auch nach mehrfachen Anfragen nicht kommentieren. Im besten Fall hat Amazon bei einigen Konten nur einen Hash-Wert aus den ersten acht Zeichen des Kennworts erzeugt. Im schlimmsten Fall speichert Amazon die Kennwörter im Klartext. Allen Kennwörtern war gemeinsam, dass sie schon seit vielen Jahren im Einsatz waren. Kennwörter mit sieben Buchstaben scheinen nicht betroffen zu sein.
Das Problem betrifft neben Amazon.de auch
Wer bei Amazon ein acht Zeichen langes Kennwort benutzt, sollte unbedingt ausprobieren, ob er vom Problem betroffen ist. Hierfür gibt man es im Passwortfeld entweder zweimal hintereinander ein oder setzt einfach "123" dahinter. Wer schon seit einiger Zeit ein längeres Kennwort benutzt, sollte ausprobieren, was passiert, wenn er nur die ersten acht Zeichen davon eingibt. Betroffene Amazon-Kunden sollten ihr Kennwort ändern. Neue Kennwörter werden besser gesichert – selbst bei acht Zeichen Länge.
Leider ist das Problem alles andere als neu.
Der Online-Dienst AOL hatte 2007 übrigens
Quelle: heise
Nachdem wir das Problem zuerst nicht reproduzieren konnten, überprüfte heise Security den Sachverhalt durch einen Aufruf an Kollegen mit einem Amazon-Konto. Die meisten waren nicht betroffen, doch immerhin 4 von etwa 30 Kollegen konnten das Problem nachvollziehen. Drei von ihnen nutzten ebenfalls acht Zeichen lange Kennwörter.
Der Ausreißer war ein 11 Zeichen langes Kennwort. Hier stellte sich heraus, dass Amazon das Kundenkonto des betroffenen Kollegen auch öffnete, wenn bis zu drei Zeichen wegließ. Beim Anlegen seines Kontos hatte Amazon offenbar von vornherein nur die ersten acht Stellen des von ihm eingegebenen Kennworts gespeichert.
Über die Ursache dieses Phänomens kann man nur spekulieren. Die Pressestelle von Amazon.de wollte den Missstand auch nach mehrfachen Anfragen nicht kommentieren. Im besten Fall hat Amazon bei einigen Konten nur einen Hash-Wert aus den ersten acht Zeichen des Kennworts erzeugt. Im schlimmsten Fall speichert Amazon die Kennwörter im Klartext. Allen Kennwörtern war gemeinsam, dass sie schon seit vielen Jahren im Einsatz waren. Kennwörter mit sieben Buchstaben scheinen nicht betroffen zu sein.
Das Problem betrifft neben Amazon.de auch
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
,
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, da die Shopping-Portale auf einen gemeinsamen Kennwortspeicher zurückgreifen. Die japanische Site
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
ist nicht betroffen; offenbar pflegt sie eine eigene Kennwortdatenbank.Wer bei Amazon ein acht Zeichen langes Kennwort benutzt, sollte unbedingt ausprobieren, ob er vom Problem betroffen ist. Hierfür gibt man es im Passwortfeld entweder zweimal hintereinander ein oder setzt einfach "123" dahinter. Wer schon seit einiger Zeit ein längeres Kennwort benutzt, sollte ausprobieren, was passiert, wenn er nur die ersten acht Zeichen davon eingibt. Betroffene Amazon-Kunden sollten ihr Kennwort ändern. Neue Kennwörter werden besser gesichert – selbst bei acht Zeichen Länge.
Leider ist das Problem alles andere als neu.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
berichtete heise online, dass Amazon.de bei der Kennwortüberprüfung mitunter nur die ersten acht Zeichen berücksichtigte und auch Varianten mit anderer Schreibweise ("pASSWORT", "Passwort") gelten ließ. Warum Amazon die seitdem verstrichene Zeit nicht dazu genutzt hat, um betroffene Anwender aus Sicherheitsgründen zum Wechsel ihres Kennworts aufzufordern, bleibt unbekannt. Der Online-Dienst AOL hatte 2007 übrigens
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Facebook lässt die Anmeldung bei festgestellter Umschalttaste oder groß geschriebenem Anfangsbuchstaben
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
– ungeschickten und mobilen Anwendern zuliebe.Quelle: heise
