PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Schwachstelle bei Amazon-Passwörtern


klumy
2011-01-31, 20:23:44
Ein Sicherheitsproblem bewirkt, dass sich User nicht nur mit der exakten Passphrase, sondern auch mit leichten Abwandlungen einloggen können.

Amazon hat ein Passwortproblem. Bei älteren Accounts soll es möglich sein, sich mit leicht geänderten Versionen des eigentlichen Passworts einzuloggen. So sind Passwörter teilweise nicht Case Sensitiv, das bedeutet, es werde kein Unterschied zwischen Groß- und Kleinschreibung gemacht. Darüber hinaus akzeptiert das System auch Passwörter, die zusätzliche Zeichen enthalten.

In der Praxis bedeutet dies: Wenn ein User als Passwort das Wort "Passwort" hat, kann man sich durch die Schwachstelle auch mit "PASSWORT", "passwortpasswort" oder "passwort12345" einloggen. Laut Wired.com sind von der Schwachstelle nur ältere Accounts betroffen, welche ihr Passwort in den letzten Jahren nicht geändert haben. Amazon war zu keiner Stellungnahme bereit.

Link:
Bericht auf Wired.com
Da das Problem nur bei älteren Accounts auftritt, dürfte Amazon die Lücke im Laufe der Zeit behoben haben, ohne die alten Accounts miteinzubeziehen. User, die ihr Amazon-Passwort bereits seit mehreren Jahren nicht geändert haben, sollten dies nun tun um der Schwachstelle zu entgehen.

Ich konnte das Problem übrigens mit meinem alten Account bestätigen!
Also checkt das auch bei euch ab und ändert euer Passwort ab!!

http://www.futurezone.at/stories/1665559/

Bubba2k3
2011-01-31, 20:42:41
Hmm, was ist denn in diesem Zusammenhang mit älteren Accounts gemeint?? Älter als 3 Jahre, älter als 5 Jahre oder was??

Ich bin dort seit mehreren Jahren angemeldet und habe seit dem das selbe Passwort, kann dieses Problem bei mir aber nicht rekonstruieren.

airbag
2011-01-31, 20:47:01
Inwieweit "alt" wird Amazon wohl nicht verraten, aber bei alten Accounts soll es wohl nach einem Passwort wechsel nicht merh möglich sein.
Hier btw noch eine kleinere Erläuterung.
http://www.golem.de/1101/80996.html
Es scheint also, als habe Amazon früher nur die ersten acht Zeichen unabhängig von Groß- und Kleinschreibung genutzt, um Hashwerte zu ermitteln, dies aber im Laufe der Zeit korrigiert. Ein entsprechendes Verhalten beschreibt beispielsweise die Man-Page zur Crypt-Funktion von Linux.

/dev/NULL
2011-01-31, 21:58:04
Bei Ebay ist es das gleiche.. nach dem ändern legt er auch bei Ebay wert auf die Groß/Kleinschreibung

Muselbert
2011-01-31, 22:27:37
tatsächlich, Klein-/Großschreibung war bei meinem Passwort scheißegal :eek: Jetzt nach der Änderung ist alles so wies sein soll...

DK2000
2011-01-31, 22:52:42
+1
Bin seit 2004/2005 (zumindest geht die Bestell History so weit) bei Amazon und grad aus Spaß jeden zweiten Buchstaben groß geschrieben und konnte mich anmelden! Und bei Amazon werden für die Passwortänderung momentan viele Captchas rausgehauen, der lädt und lädt... ^^

Muselbert
2011-01-31, 23:03:37
also vor ner halben Stunde gings noch einwandfrei :D

Mosher
2011-01-31, 23:16:59
:D tatsächlich.

Sowohl Ebay als auch Amazon haben bei meinem Passwort auf Groß/Kleinschreibung geschissen.

Endlich gibt´s wieder ´nen Grund, Massenrundemails zu verschicken

Tomi
2011-02-01, 07:01:49
Groß/Klein ist egal, hab ich auch gerade probiert. Aber da ich ein "Buchstaben+3 Zahlen" Passwort habe, konnte man mit beliebigen Zahlen nicht rein bzw. ohne Zahlen auch nicht. Ich werd meins nicht ändern.

Konami
2011-02-01, 07:32:17
Bei Ebay ist es das gleiche.. nach dem ändern legt er auch bei Ebay wert auf die Groß/Kleinschreibung
Danke für den Hinweis :eek:
Immerhin bei PayPal gibt's das Problem anscheinend nicht...

Andi_669
2011-02-01, 07:59:51
Mm bei mir hat er sich für Groß u. Kleinschreibung interessiert,
gerade mal geändert zum Glück kann das neue Passwort gleich dem alten sein,
nur das Groß u. Kleinschreibung jetzt berücksichtigt wird, :)
aber mein Passort fängt sowieso mit Sonderzeichen an, ist/war dadurch recht sicher ;)

Bubba2k3
2011-02-01, 17:53:00
Hmm, schon sehr komisch, ich kann mich jetzt bei Amazon gar nicht mehr anmelden, obwohl ich am Sonntag noch etwas bestellt habe????
Wurde vielleicht bei einigen/allen bzw. den betroffenen Kunden das Passwort zurückgesetzt und man muss sich jetzt ein neues Passwort schicken lassen?? :confused:

seneca
2011-02-01, 18:15:06
Grad probiert, Groß oder Kleinschreibung ist egal, auch kann ich zusätzliche Ziffern an das Passwort dranhängen und er lässt mich rein. krass.

Bubba2k3
2011-02-01, 18:20:48
Hmm, schon sehr komisch, ich kann mich jetzt bei Amazon gar nicht mehr anmelden, obwohl ich am Sonntag noch etwas bestellt habe????
Wurde vielleicht bei einigen/allen bzw. den betroffenen Kunden das Passwort zurückgesetzt und man muss sich jetzt ein neues Passwort schicken lassen?? :confused:


Hmm, noch viel merkwürdiger, wenn ich versuche mich "anders" bei Amazon anzumelden, dann klappt das ohne Probleme?? :confused:
Ich glaube, ich muss mich mal mit denen in Verbindung setzen.

medi
2011-02-01, 20:31:20
Grad probiert, Groß oder Kleinschreibung ist egal, auch kann ich zusätzliche Ziffern an das Passwort dranhängen und er lässt mich rein. krass.

Hatte die Lücke auch. Hab das PW jetzt geändert und wieder zurück geändert und schon gings nicht mehr. (also das fälschliche einloggen ^^ )

Kenny1702
2011-02-01, 20:55:49
Also Groß- und Kleinschreibung werden ignoriert, aber z.B. angehängte Ziffern werden bei mir erkannt und ein Login dadurch abgelehnt.

sw0rdfish
2011-02-01, 21:09:59
Danke für die Info! :eek:

FeuerHoden
2011-02-01, 21:15:47
Also Groß- und Kleinschreibung werden ignoriert, aber z.B. angehängte Ziffern werden bei mir erkannt und ein Login dadurch abgelehnt.

Nach Beschreibung der Schwachstelle klingt das so als sei dein Passwort kürzer als 8 Zeichen.

Lurtz
2011-02-01, 23:12:09
War auch betroffen, danke!

seneca
2011-02-02, 01:25:12
Das PW war genau 8 Zeichen lang, deshalb klappte das mit dem dranhängen.