> > > > Amazon akzeptiert teilweise falsche Passwörter

Amazon akzeptiert teilweise falsche Passwörter

DruckenE-Mail
Erstellt am: von

amazonDie Anmelde-Server von Amazon sollen bei einigen Kundenkonten auch falsche Kennwörter akzeptieren. Das haben die Kollegen von heise Security herausgefunden. Nach einem Hinweis eines Lesers, der versehentlich sein Kennwort zweimal hintereinander in das Passwort-Feld beim Login eingegeben hatte und sich trotzdem ohne Probleme nach einem Klick auf „Weiter“ einloggen konnte, sind die Kollegen aus Hannover Buchholz-Kleefeld der Sache näher auf den Grund gegangen. Insgesamt machten sich 30 Mitarbeiter des Verlags ans Werk und versuchten den Fehler bei ihren Amazon-Accounts zu reproduzieren.

Mit Erfolg: Bei vier Kollegen gelang der Login auch mit mehreren Zeichen hinter dem eigentlichen Passwort. Das Kennwort des Lesers und von drei der betroffenen Kollegen umfasste jeweils exakt acht Zeichen. Beim vierten Kollege gab es einen Ausreiser. Sein Passwort hatte eigentlich elf Zeichen, doch der Login in das Amazon-Konto funktionierte schon nach der Eingabe der ersten acht Zeichen. Die letzten drei Stellen mussten für einen erfolgreichen Login nicht mehr eingegeben werden. Vermutlich hat Amazon beim Anlegen des Kontos offenbar nur die ersten acht Stellen des eingegebenen Kennworts gespeichert.

Die Vermutung liegt nahe, dass Amazon im besten Fall nur einen Hash-Wert aus den ersten acht Zeichen des Kennworts erzeugt und in seiner Datenbank abgespeichert hat. Im schlimmsten Fall werden die Kennwörter allerdings im Klartext abgelegt. Da das Problem nur unter bestimmten Umständen auftritt und nicht alle Accounts betrifft, lässt sich über dieses Phänomen derzeit nur spekulieren. Ein Anfrage seitens des heise-Verlags bei der Pressestelle von Amazon.de blieb bislang unbeantwortet.

Umfasst das Amazon-Passwort exakt acht oder elf Stellen, empfiehlt heise Security, das Kennwort zu ändern.

Wer ein Passwort mit acht oder elf Stellen bei Amazon verwendet, den empfehlen die Kollegen von heise Security einen kurzen Check. Betroffene Kunden sollten ihr Passwort dann vorsichtshalber abändern. Das Problem soll nicht nur den deutsche Amazon-Store betreffen, sondern auch Amazon.fr, Amazon.co.uk und Amazon.com, da die Portale auf eine gemeinsame Account-Datenbank zurückgreifen sollen.

Laut heise online soll das Problem schon länger Bestand haben. Bereits im Januar 2011 berichtete das Magazin darüber, dass man sich bei Amazon.de auch mit einer anderen Schreibweise des Kennwortes ohne Probleme einloggen konnte (PASSWORT statt Passwort). 

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (17)

#8
customavatars/avatar92992_1.gif
Registriert seit: 10.06.2008
Emsland / Bochum
Admiral
Beiträge: 10398
Ich habe bisher keinen Fall gehört wo man mit einem falschen password bei Amazon in ein Konto gekommen wäre.

Solange die Mehrzahl der Leute Passwörter unter 8 Zeichen benutzt ist das kein Sicherheitsproblem. Ein pw mit Sonderzeichen und insgesamt fünf stellen ist sicherer als 11 wenn man ein Wort aus dem Duden wählt.

Vll liegt das Problem ja in der Redaktion. Haben die das auch von anderen Rechnern aus getestet?
#9
customavatars/avatar163959_1.gif
Registriert seit: 27.10.2011

Bootsmann
Beiträge: 749
Wie gesagt, möglicherweise sind das nur die Auswirkungen eines viel größeren Problems, welches die Stärke der Passwörter auch bei Zahlen, Sonderzeichen und ägyptischen Hieroglyphen auf ein Niveau runtersetzt, bei dem es in akzeptabler Zeit geknackt werden kann.
Die Sicherheit hängt ja auch nicht alleine von der Stärke des Passworts ab. Wenn Amazon die Passwörter im Klartext speichert, dann nutzten dir auch 30 Zeichen nichts. Sobald unberechtigter Zugang zur Datenbank verschafft wurde, ist dein Passwort hinfällig.

Dass das ganze nicht so einfach ist, sieht man ja bereits daran, dass es mehrere, verschiedene Probleme gibt. Zufälle Zeichen nach dem Passwort eingegeben? Du kannst dich einloggen. Nicht alle Zeichen eingegeben? Du kannst dich einloggen.


Eine Möglichkeit wäre, dass Amazon bei einem falschen Passwort das Passwort etwas ändert (beispielsweise Zeichen vom Ende entfernen) und es dann noch mal testet. Falls es dann funktioniert, wird der Benutzer eingeloggt. (Nur eine Theorie.)
#10
customavatars/avatar90289_1.gif
Registriert seit: 24.04.2008

Kapitänleutnant
Beiträge: 2027
Kanns nicht nachstellen mein Amazon Passwort hat nur 5 Zeichen :)
#11
customavatars/avatar151979_1.gif
Registriert seit: 19.03.2011

Oberstabsgefreiter
Beiträge: 482
Zitat SaKuLification;20988189
Tja, geht in einen Laden und kauft da eure Bücher, DVDs und anderen Krims. Dort braucht ihr ihr nur eure EC-Karte oder sowas ausgefallenes wie Bargeld.


Die EC-Karte kann an einem manipulierten Automaten durchleuchtet und das Bargeld ganz nach der alten Schule aus der Tasche gemopst werden.
#12
Registriert seit: 20.07.2010

Oberbootsmann
Beiträge: 779
Hab auch genau 8 Zeichen und habs mal getestet, ging nicht.
#13
customavatars/avatar25810_1.gif
Registriert seit: 04.08.2005

Oberstabsgefreiter
Beiträge: 388
Mein Passwort hat genau 8 (ich weiß, die Nennung dessen ist schon eine Userverschuldete Sicherheitslücke) und ist eigentlich schon sehr alt. Kann die Sicherheitslücke aber nicht bestätigen. Passwortwechsel wird trotzdem durchgeführt, war eh schon lange fällig...
#14
customavatars/avatar92992_1.gif
Registriert seit: 10.06.2008
Emsland / Bochum
Admiral
Beiträge: 10398
Vll haben die die Passwörter gespeichert und der Browser korrigiert sie nach der Eingabe automatisch... und machen einen riesen Aufriss draus.
#15
customavatars/avatar128935_1.gif
Registriert seit: 30.10.2006
Antarctica

Darkside of Luxx


Beiträge: 3480
was ich auch witzig finde: mein Vater hat sich vor paar Monaten mit einer nicht existierenden Emailadresse dort registriert, selbst die Struktur der Email [email][email protected][/email] war falsch :fresse:

und die wurde dennoch akzeptiert :D

haben die keine Überprüfungsfunktion?
#16
customavatars/avatar163959_1.gif
Registriert seit: 27.10.2011

Bootsmann
Beiträge: 749
Wie sah die Struktur denn aus? Das von dir angegebene ist ja richtig. Hat Amazon nicht auch eine Überprüfung, ob die E-Mailadresse existiert? (Also Prüflink aus einer E-Mail aufrufen und so.)
#17
customavatars/avatar92992_1.gif
Registriert seit: 10.06.2008
Emsland / Bochum
Admiral
Beiträge: 10398
Ist bei Amazon doch reichtlich egal mit welcher Email man sich dort registriert. Spätestens für die Lieferung gibt man doch eh eine Adresse an - die ist für ne Verifizierung mehr wert als ne Email.

Wüsste auch nicht warum man dort keine funktionierende Email-Adresse hinterlegen sollte.

Ob ich nun eine echte Emailadresse angebe die ich mir minuten vorher bei GMX erstellt habe ohne richtige Daten, oder ob ich nun ne falsch angebe ist für die Privatsphäre reichlich wumpe.
Letztendlich hat Variante zwei für mich nur den Nachteil, dass ich bei einer Bestellung keine Statusupdates erhalte.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Kommentar: Nein, liebe Telekom - Vectoring ist keine Glasfaser!

Logo von IMAGES/STORIES/LOGOS-2015/TELEKOM2

In der vergangenen Woche kündigte die Deutsche Telekom an, dass der Ausbau von VDSL-Vectoring mit 100 MBit/s im Herbst starten soll. Die Anschlüsse sollen dann eine Geschwindigkeit von bis zu 100 Mbit/s im Down- und 40 Mbit/s im Upload bieten. Der Nachteil der Technik ist allerdings, dass durch... [mehr]

Tesla Model 3: 320 Kilometer und ein neues Cockpit für 31.000 US-Dollar

Logo von IMAGES/STORIES/LOGOS-2015/TESLA_MOTORS

Welch hohes Vertrauen Tesla genießt, zeigt heute keine andere Zahl so deutlich wie die der Vorbestellungen für das in der vergangenen Nacht vorgestellte Model 3. Rund 115.000 Exemplare wurden bereits geordert, ohne dass auch nur einer der Besteller wusste, was genau er der eigentlich kauft -... [mehr]

Intel bestätigt trotz Milliardengewinn Wegfall von 12.000 Arbeitsplätzen

Logo von IMAGES/STORIES/LOGOS-2015/INTEL3

Vor einigen Tagen wurden Gerüchte laut, dass Intel einen massiven Stellenabbau planen würde. Dieses Gerücht hat der Chipriese nun im Rahmen seiner aktuellen Quartalszahlen bestätigt. Demnach werden bis zum Jahr 2017 rund 12.000 der insgesamt 107.000 Stellen wegfallen. Die betroffenen... [mehr]

Ford baut Googles selbstfahrende Autos (Update)

Logo von IMAGES/STORIES/LOGOS-2015/GOOGLE_ROBOCAR

Google ist auf der Suche nach einem Partner für seine selbstfahrenden Autos fündig geworden. Dabei soll es sich um den US-Hersteller Ford handeln. Dies zumindest berichtet das Portal Automotiv News und verweist auf gut informierte Kreise. Zwar wollten beide Unternehmen keinen Kommentar abgeben,... [mehr]

Vorinstallierte Google-Apps: EU-Kommission prüft mögliche...

Logo von IMAGES/STORIES/LOGOS-2015/GOOGLE_2015

Bereits seit 2013 prüft die EU-Kommission, ob Google mit seiner Mobil-Plattform Android gegen geltendes Kartellrecht verstößt. Zum Stand der Ermittlungen hatte man sich seitdem nur vage und selten geäußert, Stillstand hat es aber nicht gegeben. Denn wie die zuständige Wettbewerbskommissarin... [mehr]

Netflix wächst weiter auf 81,5 Millionen Nutzer

Logo von IMAGES/STORIES/LOGOS-2013/NETFLIX

Netflix hat zusammen mit den jüngsten Quartalszahlen auch einen deutlichen Mitgliederzuwachs bekanntgegeben. Demnach nutzen derzeit weltweit rund 81,5 Millionen Nutzer den Streamingdienst. Während in den ersten drei Monaten des Jahres 2016 in den USA 2,23 Millionen Neukunden gewonnen werden... [mehr]