> > > > Amazon akzeptiert teilweise falsche Passwörter

Amazon akzeptiert teilweise falsche Passwörter

Veröffentlicht am: von

amazonDie Anmelde-Server von Amazon sollen bei einigen Kundenkonten auch falsche Kennwörter akzeptieren. Das haben die Kollegen von heise Security herausgefunden. Nach einem Hinweis eines Lesers, der versehentlich sein Kennwort zweimal hintereinander in das Passwort-Feld beim Login eingegeben hatte und sich trotzdem ohne Probleme nach einem Klick auf „Weiter“ einloggen konnte, sind die Kollegen aus Hannover Buchholz-Kleefeld der Sache näher auf den Grund gegangen. Insgesamt machten sich 30 Mitarbeiter des Verlags ans Werk und versuchten den Fehler bei ihren Amazon-Accounts zu reproduzieren.

Mit Erfolg: Bei vier Kollegen gelang der Login auch mit mehreren Zeichen hinter dem eigentlichen Passwort. Das Kennwort des Lesers und von drei der betroffenen Kollegen umfasste jeweils exakt acht Zeichen. Beim vierten Kollege gab es einen Ausreiser. Sein Passwort hatte eigentlich elf Zeichen, doch der Login in das Amazon-Konto funktionierte schon nach der Eingabe der ersten acht Zeichen. Die letzten drei Stellen mussten für einen erfolgreichen Login nicht mehr eingegeben werden. Vermutlich hat Amazon beim Anlegen des Kontos offenbar nur die ersten acht Stellen des eingegebenen Kennworts gespeichert.

Die Vermutung liegt nahe, dass Amazon im besten Fall nur einen Hash-Wert aus den ersten acht Zeichen des Kennworts erzeugt und in seiner Datenbank abgespeichert hat. Im schlimmsten Fall werden die Kennwörter allerdings im Klartext abgelegt. Da das Problem nur unter bestimmten Umständen auftritt und nicht alle Accounts betrifft, lässt sich über dieses Phänomen derzeit nur spekulieren. Ein Anfrage seitens des heise-Verlags bei der Pressestelle von Amazon.de blieb bislang unbeantwortet.

Umfasst das Amazon-Passwort exakt acht oder elf Stellen, empfiehlt heise Security, das Kennwort zu ändern.

Wer ein Passwort mit acht oder elf Stellen bei Amazon verwendet, den empfehlen die Kollegen von heise Security einen kurzen Check. Betroffene Kunden sollten ihr Passwort dann vorsichtshalber abändern. Das Problem soll nicht nur den deutsche Amazon-Store betreffen, sondern auch Amazon.fr, Amazon.co.uk und Amazon.com, da die Portale auf eine gemeinsame Account-Datenbank zurückgreifen sollen.

Laut heise online soll das Problem schon länger Bestand haben. Bereits im Januar 2011 berichtete das Magazin darüber, dass man sich bei Amazon.de auch mit einer anderen Schreibweise des Kennwortes ohne Probleme einloggen konnte (PASSWORT statt Passwort). 

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (17)

#8
customavatars/avatar92992_1.gif
Registriert seit: 10.06.2008
zuhause
Admiral
Beiträge: 11405
Ich habe bisher keinen Fall gehört wo man mit einem falschen password bei Amazon in ein Konto gekommen wäre.

Solange die Mehrzahl der Leute Passwörter unter 8 Zeichen benutzt ist das kein Sicherheitsproblem. Ein pw mit Sonderzeichen und insgesamt fünf stellen ist sicherer als 11 wenn man ein Wort aus dem Duden wählt.

Vll liegt das Problem ja in der Redaktion. Haben die das auch von anderen Rechnern aus getestet?
#9
customavatars/avatar163959_1.gif
Registriert seit: 27.10.2011

Oberbootsmann
Beiträge: 817
Wie gesagt, möglicherweise sind das nur die Auswirkungen eines viel größeren Problems, welches die Stärke der Passwörter auch bei Zahlen, Sonderzeichen und ägyptischen Hieroglyphen auf ein Niveau runtersetzt, bei dem es in akzeptabler Zeit geknackt werden kann.
Die Sicherheit hängt ja auch nicht alleine von der Stärke des Passworts ab. Wenn Amazon die Passwörter im Klartext speichert, dann nutzten dir auch 30 Zeichen nichts. Sobald unberechtigter Zugang zur Datenbank verschafft wurde, ist dein Passwort hinfällig.

Dass das ganze nicht so einfach ist, sieht man ja bereits daran, dass es mehrere, verschiedene Probleme gibt. Zufälle Zeichen nach dem Passwort eingegeben? Du kannst dich einloggen. Nicht alle Zeichen eingegeben? Du kannst dich einloggen.


Eine Möglichkeit wäre, dass Amazon bei einem falschen Passwort das Passwort etwas ändert (beispielsweise Zeichen vom Ende entfernen) und es dann noch mal testet. Falls es dann funktioniert, wird der Benutzer eingeloggt. (Nur eine Theorie.)
#10
customavatars/avatar90289_1.gif
Registriert seit: 24.04.2008

Korvettenkapitän
Beiträge: 2057
Kanns nicht nachstellen mein Amazon Passwort hat nur 5 Zeichen :)
#11
customavatars/avatar151979_1.gif
Registriert seit: 19.03.2011

Oberstabsgefreiter
Beiträge: 485
Zitat SaKuLification;20988189
Tja, geht in einen Laden und kauft da eure Bücher, DVDs und anderen Krims. Dort braucht ihr ihr nur eure EC-Karte oder sowas ausgefallenes wie Bargeld.


Die EC-Karte kann an einem manipulierten Automaten durchleuchtet und das Bargeld ganz nach der alten Schule aus der Tasche gemopst werden.
#12
Registriert seit: 20.07.2010

Oberbootsmann
Beiträge: 779
Hab auch genau 8 Zeichen und habs mal getestet, ging nicht.
#13
customavatars/avatar25810_1.gif
Registriert seit: 04.08.2005

Oberstabsgefreiter
Beiträge: 408
Mein Passwort hat genau 8 (ich weiß, die Nennung dessen ist schon eine Userverschuldete Sicherheitslücke) und ist eigentlich schon sehr alt. Kann die Sicherheitslücke aber nicht bestätigen. Passwortwechsel wird trotzdem durchgeführt, war eh schon lange fällig...
#14
customavatars/avatar92992_1.gif
Registriert seit: 10.06.2008
zuhause
Admiral
Beiträge: 11405
Vll haben die die Passwörter gespeichert und der Browser korrigiert sie nach der Eingabe automatisch... und machen einen riesen Aufriss draus.
#15
Registriert seit: 01.01.1970


Beiträge:
was ich auch witzig finde: mein Vater hat sich vor paar Monaten mit einer nicht existierenden Emailadresse dort registriert, selbst die Struktur der Email [email][email protected][/email] war falsch :fresse:

und die wurde dennoch akzeptiert :D

haben die keine Überprüfungsfunktion?
#16
customavatars/avatar163959_1.gif
Registriert seit: 27.10.2011

Oberbootsmann
Beiträge: 817
Wie sah die Struktur denn aus? Das von dir angegebene ist ja richtig. Hat Amazon nicht auch eine Überprüfung, ob die E-Mailadresse existiert? (Also Prüflink aus einer E-Mail aufrufen und so.)
#17
customavatars/avatar92992_1.gif
Registriert seit: 10.06.2008
zuhause
Admiral
Beiträge: 11405
Ist bei Amazon doch reichtlich egal mit welcher Email man sich dort registriert. Spätestens für die Lieferung gibt man doch eh eine Adresse an - die ist für ne Verifizierung mehr wert als ne Email.

Wüsste auch nicht warum man dort keine funktionierende Email-Adresse hinterlegen sollte.

Ob ich nun eine echte Emailadresse angebe die ich mir minuten vorher bei GMX erstellt habe ohne richtige Daten, oder ob ich nun ne falsch angebe ist für die Privatsphäre reichlich wumpe.
Letztendlich hat Variante zwei für mich nur den Nachteil, dass ich bei einer Bestellung keine Statusupdates erhalte.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • TomsHardware.de muss seine Pforten schließen (Update)

    Logo von IMAGES/STORIES/2017/THG

    Eine der bekanntesten deutschen IT-Seiten TomsHardware.de wird abgeschaltet. Damit geht eine Ära zu Ende, denn die 1996 noch unter einem anderen Namen gestartete Webseite gehört sicherlich zu den Größen in diesem Bereich. Der genaue Termin für die Abschaltung der Server steht noch nicht... [mehr]

  • Interstellar: Hunderte CPUs berechnen schwarzes Loch

    Logo von IMAGES/STORIES/2017/SCHWARZES-LOCH

    Der Film Interstellar aus dem Jahre 2014 zeichnete sich vor allem durch eine möglichst realistische Darstellung und Simulation eines schwarzen Loches aus. Christopher und Jonathan Nolan schrieben das Drehbuch und zeichneten sich auch für die filmische Umsetzung verantwortlich. Der... [mehr]

  • Ende des Mining-Booms: Absätze bei den Grafikkarten brechen um bis zu 80 % ein...

    Logo von IMAGES/STORIES/2017/BITCOIN

    Investoren und Analysten mahnen seit Monaten vor einem Einbruch am Grafikkarten-Markt, doch bisher hat sich dies in den Absatz- und Umsatzzahlen der Hersteller noch nicht wirklich gezeigt. Nun mehren sich aber die Zeichen aus Asien, dass es ab März/April einen erheblich Einbruch bei den... [mehr]

  • NVIDIA intern: Begehrtestes Produkt ist ein Lineal

    Logo von IMAGES/STORIES/2017/NVIDIA

    Zwischen den Jahren einmal etwas Kurioses: Größere Unternehmen bieten ihren Mitarbeitern oftmals in internen Shops bestimmte Produkte an. T-Shirt und Kaffeetasse sind hier nur die einfachsten Beispiele. NVIDIA verkauft alle eigenen Produkte natürlich auch an die eigenen Mitarbeiter. Dazu... [mehr]

  • Vodafone schaltet erste Gigabit-Anschlüsse über Kabel für 20 Euro

    Logo von IMAGES/STORIES/2017/VODAFONE_LOGO

    Vodafone versorgt ab sofort die ersten Kunden mit einer Geschwindigkeit von bis zu 1 Gbit/s. Das Unternehmen hat hierfür stellenweise sein Kabelnetz auf DOCSIS 3.1 umgerüstet und kann aktuell 400.000 Haushalte mit der schnellen Geschwindigkeit versorgen. Zu den ersten Städten mit der schnellen... [mehr]

  • NVIDIA stellt das GeForce Partner Programm ein

    Logo von IMAGES/STORIES/2017/NVIDIA

    Das NVIDIA GeForce Partner Programm oder kurz GPP sollte Anreize für Boardpartner und letztendlich auch den Käufer einer Grafikkarte schaffen. Doch ein möglicher unerlaubter Wettbewerbsvorteil warf ein eher schlechtes Licht auf das Programm. Nun hat NVIDIA das Programm offiziell eingestellt. Als... [mehr]