> > > > Amazon akzeptiert teilweise falsche Passwörter

Amazon akzeptiert teilweise falsche Passwörter

Veröffentlicht am: von

amazonDie Anmelde-Server von Amazon sollen bei einigen Kundenkonten auch falsche Kennwörter akzeptieren. Das haben die Kollegen von heise Security herausgefunden. Nach einem Hinweis eines Lesers, der versehentlich sein Kennwort zweimal hintereinander in das Passwort-Feld beim Login eingegeben hatte und sich trotzdem ohne Probleme nach einem Klick auf „Weiter“ einloggen konnte, sind die Kollegen aus Hannover Buchholz-Kleefeld der Sache näher auf den Grund gegangen. Insgesamt machten sich 30 Mitarbeiter des Verlags ans Werk und versuchten den Fehler bei ihren Amazon-Accounts zu reproduzieren.

Mit Erfolg: Bei vier Kollegen gelang der Login auch mit mehreren Zeichen hinter dem eigentlichen Passwort. Das Kennwort des Lesers und von drei der betroffenen Kollegen umfasste jeweils exakt acht Zeichen. Beim vierten Kollege gab es einen Ausreiser. Sein Passwort hatte eigentlich elf Zeichen, doch der Login in das Amazon-Konto funktionierte schon nach der Eingabe der ersten acht Zeichen. Die letzten drei Stellen mussten für einen erfolgreichen Login nicht mehr eingegeben werden. Vermutlich hat Amazon beim Anlegen des Kontos offenbar nur die ersten acht Stellen des eingegebenen Kennworts gespeichert.

Die Vermutung liegt nahe, dass Amazon im besten Fall nur einen Hash-Wert aus den ersten acht Zeichen des Kennworts erzeugt und in seiner Datenbank abgespeichert hat. Im schlimmsten Fall werden die Kennwörter allerdings im Klartext abgelegt. Da das Problem nur unter bestimmten Umständen auftritt und nicht alle Accounts betrifft, lässt sich über dieses Phänomen derzeit nur spekulieren. Ein Anfrage seitens des heise-Verlags bei der Pressestelle von Amazon.de blieb bislang unbeantwortet.

Umfasst das Amazon-Passwort exakt acht oder elf Stellen, empfiehlt heise Security, das Kennwort zu ändern.

Wer ein Passwort mit acht oder elf Stellen bei Amazon verwendet, den empfehlen die Kollegen von heise Security einen kurzen Check. Betroffene Kunden sollten ihr Passwort dann vorsichtshalber abändern. Das Problem soll nicht nur den deutsche Amazon-Store betreffen, sondern auch Amazon.fr, Amazon.co.uk und Amazon.com, da die Portale auf eine gemeinsame Account-Datenbank zurückgreifen sollen.

Laut heise online soll das Problem schon länger Bestand haben. Bereits im Januar 2011 berichtete das Magazin darüber, dass man sich bei Amazon.de auch mit einer anderen Schreibweise des Kennwortes ohne Probleme einloggen konnte (PASSWORT statt Passwort). 

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (17)

#8
customavatars/avatar92992_1.gif
Registriert seit: 10.06.2008
Emsland / Bochum
Admiral
Beiträge: 11034
Ich habe bisher keinen Fall gehört wo man mit einem falschen password bei Amazon in ein Konto gekommen wäre.

Solange die Mehrzahl der Leute Passwörter unter 8 Zeichen benutzt ist das kein Sicherheitsproblem. Ein pw mit Sonderzeichen und insgesamt fünf stellen ist sicherer als 11 wenn man ein Wort aus dem Duden wählt.

Vll liegt das Problem ja in der Redaktion. Haben die das auch von anderen Rechnern aus getestet?
#9
customavatars/avatar163959_1.gif
Registriert seit: 27.10.2011

Oberbootsmann
Beiträge: 787
Wie gesagt, möglicherweise sind das nur die Auswirkungen eines viel größeren Problems, welches die Stärke der Passwörter auch bei Zahlen, Sonderzeichen und ägyptischen Hieroglyphen auf ein Niveau runtersetzt, bei dem es in akzeptabler Zeit geknackt werden kann.
Die Sicherheit hängt ja auch nicht alleine von der Stärke des Passworts ab. Wenn Amazon die Passwörter im Klartext speichert, dann nutzten dir auch 30 Zeichen nichts. Sobald unberechtigter Zugang zur Datenbank verschafft wurde, ist dein Passwort hinfällig.

Dass das ganze nicht so einfach ist, sieht man ja bereits daran, dass es mehrere, verschiedene Probleme gibt. Zufälle Zeichen nach dem Passwort eingegeben? Du kannst dich einloggen. Nicht alle Zeichen eingegeben? Du kannst dich einloggen.


Eine Möglichkeit wäre, dass Amazon bei einem falschen Passwort das Passwort etwas ändert (beispielsweise Zeichen vom Ende entfernen) und es dann noch mal testet. Falls es dann funktioniert, wird der Benutzer eingeloggt. (Nur eine Theorie.)
#10
customavatars/avatar90289_1.gif
Registriert seit: 24.04.2008

Kapitänleutnant
Beiträge: 2029
Kanns nicht nachstellen mein Amazon Passwort hat nur 5 Zeichen :)
#11
customavatars/avatar151979_1.gif
Registriert seit: 19.03.2011

Oberstabsgefreiter
Beiträge: 483
Zitat SaKuLification;20988189
Tja, geht in einen Laden und kauft da eure Bücher, DVDs und anderen Krims. Dort braucht ihr ihr nur eure EC-Karte oder sowas ausgefallenes wie Bargeld.


Die EC-Karte kann an einem manipulierten Automaten durchleuchtet und das Bargeld ganz nach der alten Schule aus der Tasche gemopst werden.
#12
Registriert seit: 20.07.2010

Oberbootsmann
Beiträge: 779
Hab auch genau 8 Zeichen und habs mal getestet, ging nicht.
#13
customavatars/avatar25810_1.gif
Registriert seit: 04.08.2005

Oberstabsgefreiter
Beiträge: 391
Mein Passwort hat genau 8 (ich weiß, die Nennung dessen ist schon eine Userverschuldete Sicherheitslücke) und ist eigentlich schon sehr alt. Kann die Sicherheitslücke aber nicht bestätigen. Passwortwechsel wird trotzdem durchgeführt, war eh schon lange fällig...
#14
customavatars/avatar92992_1.gif
Registriert seit: 10.06.2008
Emsland / Bochum
Admiral
Beiträge: 11034
Vll haben die die Passwörter gespeichert und der Browser korrigiert sie nach der Eingabe automatisch... und machen einen riesen Aufriss draus.
#15
customavatars/avatar128935_1.gif
Registriert seit: 30.10.2006
Bremen

Darkside of Luxx


Beiträge: 3564
was ich auch witzig finde: mein Vater hat sich vor paar Monaten mit einer nicht existierenden Emailadresse dort registriert, selbst die Struktur der Email [email][email protected][/email] war falsch :fresse:

und die wurde dennoch akzeptiert :D

haben die keine Überprüfungsfunktion?
#16
customavatars/avatar163959_1.gif
Registriert seit: 27.10.2011

Oberbootsmann
Beiträge: 787
Wie sah die Struktur denn aus? Das von dir angegebene ist ja richtig. Hat Amazon nicht auch eine Überprüfung, ob die E-Mailadresse existiert? (Also Prüflink aus einer E-Mail aufrufen und so.)
#17
customavatars/avatar92992_1.gif
Registriert seit: 10.06.2008
Emsland / Bochum
Admiral
Beiträge: 11034
Ist bei Amazon doch reichtlich egal mit welcher Email man sich dort registriert. Spätestens für die Lieferung gibt man doch eh eine Adresse an - die ist für ne Verifizierung mehr wert als ne Email.

Wüsste auch nicht warum man dort keine funktionierende Email-Adresse hinterlegen sollte.

Ob ich nun eine echte Emailadresse angebe die ich mir minuten vorher bei GMX erstellt habe ohne richtige Daten, oder ob ich nun ne falsch angebe ist für die Privatsphäre reichlich wumpe.
Letztendlich hat Variante zwei für mich nur den Nachteil, dass ich bei einer Bestellung keine Statusupdates erhalte.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Lohnt das Mining für den Privatanwender noch?

Logo von IMAGES/STORIES/2017/ETHEREUM

Bestimmte Grafikkartenmodelle sind schlecht verfügbar und einige Hersteller präsentieren sogar spezielle Mining-Modelle – bestes Anzeichen dafür, dass eine neue Mining-Welle anrollt. Ethereum basiert wie Bitcoins auf einer Blockchain-Technologie. Ethereum ist aber keine reine Kryptowährung,... [mehr]

Deutschen Bahn trainiert Mitarbeiter in der virtuellen Realität

Logo von IMAGES/STORIES/2017/DEUTSCHE_BAHN

Nicht nur das autonome Fahren auf der Straße spielt auf der GPU Technology Conference in München eine Rolle, auch die Deutsche Bahn hielt einen Vortrag, der sich mit dem Training von Mitarbeitern in einer virtuellen Umgebung befasste. Autonome Züge spielten jedenfalls keine Rolle, auch wenn in... [mehr]

Bitcoin droht der Hard Fork – Ethereum weiter auf niedrigem Kurs

Logo von IMAGES/STORIES/2017/ETHEREUM

Bereits in der vergangenen Woche deuteten sich einige Änderungen bei den Kryptowährungen an. Nach einem wochenlangen Hoch brach der Kurs des Ether auf weit unter 200 US-Dollar ein. Die Gründe dafür sind nicht immer ersichtlich. Oftmals gibt es auch Wechselwirkungen zwischen den einzelnen... [mehr]

AMD mit guten Quartalszahlen – Vega und Naples für Q2 bestätigt (Update)

Logo von IMAGES/STORIES/2017/AMD

AMD hat die ersten Quartalszahlen veröffentlicht, die nach dem Verkaufsstart der RYZEN-Prozessoren zusammengestellt wurden. Darin zeichnet das Unternehmen einen deutlichen Anstieg beim Umsatz aus, muss bisher aber noch auf Gewinne verzichten. Weitaus wichtiger aber ist, dass AMD in seinen... [mehr]

Apple Pay weiterhin nicht in Deutschland vorgesehen

Logo von IMAGES/STORIES/2017/APPLE_PAY

Apple Pay ist das drahtlose Bezahlsystem des iPhone-, iPad- und Mac-Herstellers, welches am 20. Oktober 2014 startet, bisher aber noch immer nicht den Weg nach Deutschland gefunden hat. Inzwischen hat Apple für viele Nachbarländer Apple Pay bereits eingeführt, Deutschland aber ist nach wie vor... [mehr]

Epyc und Vega: AMD packt ein PFLOP pro Sekunde in ein Serverrack

Logo von IMAGES/STORIES/2017/AMD-PROJECT47

AMD hat mit den Eypc-Serverprozessoren und Radeon-Instinct-GPU-Beschleunigern zwei sicherlich potente Hardwarekomponenten vorgestellt, die teilweise auch schon im Handel verfügbar sind oder in den kommenden Wochen und Monaten auf den Markt kommen werden. Mit den Epyc-Prozessoren greift AMD den... [mehr]