Amazon schlampt bei der Kennwortabfrage
Bei diversen Amazon-Kundenkonten akzeptieren die Anmelde-Server falsche Kennwörter. Bei anderen Konten hat Amazon von vornherein nur die ersten Zeichen des Kennworts gespeichert. Nicht nur die deutsche Amazon-Site ist betroffen.
- Gerald Himmelein
Die Anmelde-Server der Online-Shopping-Site Amazon akzeptieren bei einigen Kundenkonten auch falsche Kennwörter. Das Problem betrifft nicht nur die deutsche Amazon-Website. Einem Leser waren Unregelmäßigkeiten bei der Kennworteingabe aufgefallen. Versehentlich hatte Bernard B. sein Kennwort zweimal hintereinander eingetippt, "Weiter" angeklickt und war dann trotzdem angemeldet. Das Kennwort des Lesers umfasste exakt acht Zeichen. Egal, womit er es verlängerte – Amazon ließ ihn rein.
Nachdem wir das Problem zuerst nicht reproduzieren konnten, überprüfte heise Security den Sachverhalt durch einen Aufruf an Kollegen mit einem Amazon-Konto. Die meisten waren nicht betroffen, doch immerhin 4 von etwa 30 Kollegen konnten das Problem nachvollziehen. Drei von ihnen nutzten ebenfalls acht Zeichen lange Kennwörter.
Der Ausreißer war ein 11 Zeichen langes Kennwort. Hier stellte sich heraus, dass Amazon das Kundenkonto des betroffenen Kollegen auch öffnete, wenn er bis zu drei Zeichen wegließ. Beim Anlegen seines Kontos hatte Amazon offenbar von vornherein nur die ersten acht Stellen des von ihm eingegebenen Kennworts gespeichert.
Über die Ursache dieses Phänomens kann man nur spekulieren. Die Pressestelle von Amazon.de wollte den Missstand auch nach mehrfachen Anfragen nicht kommentieren. Im besten Fall hat Amazon bei einigen Konten nur einen Hash-Wert aus den ersten acht Zeichen des Kennworts erzeugt. Im schlimmsten Fall speichert Amazon die Kennwörter im Klartext. Allen Kennwörtern war gemeinsam, dass sie schon seit vielen Jahren im Einsatz waren. Kennwörter mit sieben Buchstaben scheinen nicht betroffen zu sein.
Das Problem betrifft neben Amazon.de auch Amazon.fr, Amazon.co.uk und Amazon.com, da die Shopping-Portale auf einen gemeinsamen Kennwortspeicher zurĂĽckgreifen. Die japanische Site Amazon.co.jp ist nicht betroffen; offenbar pflegt sie eine eigene Kennwortdatenbank.
Wer bei Amazon ein acht Zeichen langes Kennwort benutzt, sollte unbedingt ausprobieren, ob er vom Problem betroffen ist. Hierfür gibt man es im Passwortfeld entweder zweimal hintereinander ein oder setzt einfach "123" dahinter. Wer schon seit einiger Zeit ein längeres Kennwort benutzt, sollte ausprobieren, was passiert, wenn er nur die ersten acht Zeichen davon eingibt. Betroffene Amazon-Kunden sollten ihr Kennwort ändern. Neue Kennwörter werden besser gesichert – selbst bei acht Zeichen Länge.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Leider ist das Problem alles andere als neu. Bereits im Januar 2011 berichtete heise online, dass Amazon.de bei der Kennwortüberprüfung mitunter nur die ersten acht Zeichen berücksichtigte und auch Varianten mit anderer Schreibweise ("pASSWORT", "Passwort") gelten ließ. Warum Amazon die seitdem verstrichene Zeit nicht dazu genutzt hat, um betroffene Anwender aus Sicherheitsgründen zum Wechsel ihres Kennworts aufzufordern, bleibt unbekannt.
Der Online-Dienst AOL hatte 2007 übrigens das gleiche Problem. Facebook lässt die Anmeldung bei festgestellter Umschalttaste oder groß geschriebenem Anfangsbuchstaben sogar absichtlich zu – ungeschickten und mobilen Anwendern zuliebe. (ghi)