Amazon akzeptiert teilweise falsche Passwörter

Stegan

Stegan

Redakteur
Hardwareluxx Team
Thread Starter
Mitglied seit
16.12.2005
Beiträge
16.274
Ort
Augsburg
<p><img src="/images/stories/logos/amazon.jpg" width="100" height="100" alt="amazon" style="margin: 10px; float: left;" />Die Anmelde-Server von <a href="http://www.amazon.de/" target="_blank">Amazon</a> sollen bei einigen Kundenkonten auch falsche Kennwörter akzeptieren. Das haben die Kollegen von heise Security herausgefunden. Nach einem Hinweis eines Lesers, der versehentlich sein Kennwort zweimal hintereinander in das Passwort-Feld beim Login eingegeben hatte und sich trotzdem ohne Probleme nach einem Klick auf „Weiter“ einloggen konnte, sind die Kollegen aus Hannover Buchholz-Kleefeld der Sache näher auf den Grund gegangen. Insgesamt machten sich 30 Mitarbeiter des Verlags ans Werk und versuchten den Fehler bei ihren Amazon-Accounts zu reproduzieren.</p>
<p>Mit Erfolg: Bei...<br /><br /><a href="/index.php/news/allgemein/wirtschaft/27412-amazon-akzeptiert-teilweise-falsche-passwoerter.html" style="font-weight:bold;">... weiterlesen</a></p>
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Sehr gut,dann kann man sich den "Passwort vergessen"-Button sparen.
 
Tja, geht in einen Laden und kauft da eure Bücher, DVDs und anderen Krims. Dort braucht ihr ihr nur eure EC-Karte oder sowas ausgefallenes wie Bargeld.
 
Wo ist da die Sicherheitslücke? Man benötigt immer noch die ersten acht stellen des Passwortes oder nicht?

Das ist immer noch sicherer, als wenn das Passwort nur aus 7 Zeichen besteht.

Wenn das Passwort "Auto" ist und ich kann stattdessen "Baum" eingeben - das wäre ein Skandal. Aber so ?!

btw: Es scheint entweder nur dann zu funktionieren, wenn das Passwort keine Sonderzeichen enthält, oder das ganze wurde schon "gefixt".
Bei mir funktioniert es nämlich NICHT.
 
Zuletzt bearbeitet:
Hardwarekäufer schrieb:
Wo ist da die Sicherheitslücke? Man benötigt immer noch die ersten acht stellen des Passwortes oder nicht?

Das ist immer noch sicherer, als wenn das Passwort nur aus 7 Zeichen besteht.

Wenn das Passwort "Auto" ist und ich kann stattdessen "Baum" eingeben - das wäre ein Skandal. Aber so ?!
Zum Vergrößern anklicken....

bin gleicher Meinung, 8 Zeichen reichen völlig aus. Die Überschrift ist völlig übertrieben formuliert.
 
ich habe es auch getestet und ich konnte mich nicht anmelden. Das richtige Kennwort mit Grossbuchstaben getestet - auch dort war keine Anmeldung möglich. Hmmm Datenbankfehler? Wie auch immer / Es ist erschreckend, dass es funktioniert....
 
Natürlich ist das ein großes Problem, powergamer und Hardwarekäufer. Die Sicherheit der Passwörter wird so massiv runtergesetzt. wenn nur 8 Zeichen statt 11 benutzt werden. Viel schlimmer ist allerdings die Unklarheit, was eigentlich das Problem ist. Da es bei manchen Leuten funktioniert und bei manchen nicht, muss da ein viel größeres Problem hinter stehen, welches die Sicherheit der Passwörter noch viel stärker beeinflussen kann.
Möglicherweise ist Amazon auch auf die dämliche Idee gekommen, und hat einen eigenen Hash-Algorithmus entwickelt, welcher jetzt vielleicht Fehler hat. (Bspw. haben bestimmte Passwörter bei 8 und bei 11 Zeichen den gleichen Hash-Wert oder so, da ist vieles möglich.)
 
Ich habe bisher keinen Fall gehört wo man mit einem falschen password bei Amazon in ein Konto gekommen wäre.

Solange die Mehrzahl der Leute Passwörter unter 8 Zeichen benutzt ist das kein Sicherheitsproblem. Ein pw mit Sonderzeichen und insgesamt fünf stellen ist sicherer als 11 wenn man ein Wort aus dem Duden wählt.

Vll liegt das Problem ja in der Redaktion. Haben die das auch von anderen Rechnern aus getestet?
 
Zuletzt bearbeitet:
Wie gesagt, möglicherweise sind das nur die Auswirkungen eines viel größeren Problems, welches die Stärke der Passwörter auch bei Zahlen, Sonderzeichen und ägyptischen Hieroglyphen auf ein Niveau runtersetzt, bei dem es in akzeptabler Zeit geknackt werden kann.
Die Sicherheit hängt ja auch nicht alleine von der Stärke des Passworts ab. Wenn Amazon die Passwörter im Klartext speichert, dann nutzten dir auch 30 Zeichen nichts. Sobald unberechtigter Zugang zur Datenbank verschafft wurde, ist dein Passwort hinfällig.

Dass das ganze nicht so einfach ist, sieht man ja bereits daran, dass es mehrere, verschiedene Probleme gibt. Zufälle Zeichen nach dem Passwort eingegeben? Du kannst dich einloggen. Nicht alle Zeichen eingegeben? Du kannst dich einloggen.


Eine Möglichkeit wäre, dass Amazon bei einem falschen Passwort das Passwort etwas ändert (beispielsweise Zeichen vom Ende entfernen) und es dann noch mal testet. Falls es dann funktioniert, wird der Benutzer eingeloggt. (Nur eine Theorie.)
 
Kanns nicht nachstellen mein Amazon Passwort hat nur 5 Zeichen :)
 
SaKuLification schrieb:
Tja, geht in einen Laden und kauft da eure Bücher, DVDs und anderen Krims. Dort braucht ihr ihr nur eure EC-Karte oder sowas ausgefallenes wie Bargeld.
Zum Vergrößern anklicken....

Die EC-Karte kann an einem manipulierten Automaten durchleuchtet und das Bargeld ganz nach der alten Schule aus der Tasche gemopst werden.
 
Zuletzt bearbeitet:
Mein Passwort hat genau 8 (ich weiß, die Nennung dessen ist schon eine Userverschuldete Sicherheitslücke) und ist eigentlich schon sehr alt. Kann die Sicherheitslücke aber nicht bestätigen. Passwortwechsel wird trotzdem durchgeführt, war eh schon lange fällig...
 
Vll haben die die Passwörter gespeichert und der Browser korrigiert sie nach der Eingabe automatisch... und machen einen riesen Aufriss draus.
 
was ich auch witzig finde: mein Vater hat sich vor paar Monaten mit einer nicht existierenden Emailadresse dort registriert, selbst die Struktur der Email name@hoster.tld war falsch :fresse:

und die wurde dennoch akzeptiert :d

haben die keine Überprüfungsfunktion?
 
Wie sah die Struktur denn aus? Das von dir angegebene ist ja richtig. Hat Amazon nicht auch eine Überprüfung, ob die E-Mailadresse existiert? (Also Prüflink aus einer E-Mail aufrufen und so.)
 
Ist bei Amazon doch reichtlich egal mit welcher Email man sich dort registriert. Spätestens für die Lieferung gibt man doch eh eine Adresse an - die ist für ne Verifizierung mehr wert als ne Email.

Wüsste auch nicht warum man dort keine funktionierende Email-Adresse hinterlegen sollte.

Ob ich nun eine echte Emailadresse angebe die ich mir minuten vorher bei GMX erstellt habe ohne richtige Daten, oder ob ich nun ne falsch angebe ist für die Privatsphäre reichlich wumpe.
Letztendlich hat Variante zwei für mich nur den Nachteil, dass ich bei einer Bestellung keine Statusupdates erhalte.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh