Amazon: Passwortabfrage erneut mangelhaft

Die versehentliche, doppelte Eingabe des eigenen Passwortes, ließ einen Nutzer von Amazon hellhörig werden. Trotz der eigentlich falschen Eingabe seines Passwortes, wurde der Login erfolgreich ausgeführt.

Heise Security untersuchte das Problem und stellt dabei fest, dass vereinzelt die ersten acht Stellen eines eigentlich längeren Passwortes ausreichten um einen erfolgreichen Login durchzuführen. Vermutet wird, dass Amazon in Einzelfällen nur die ersten acht Zeichen eines Passwortes gespeichert wurden und daraus ein Hash-Wert erzeugt wurde, wodurch der abschließende Rest irrelevant wird.

Wie Amazon die Passwörter seiner Kunden intern speichert ist allerdings unklar. Weshalb der Fehler auch nur bei einigen, wenigen Konten auftritt, kann bislang auch niemand nachvollziehen.

Heise Security rät allen Kunden, einen Selbstversuch zu starten und bei einem erfolgreichen Login mit falschem Passwort ein neues Passwort zu vergeben. Bereits 2011 wurde ein Fehler im Login-System bei Amazon festgestellt, welcher dazu führte, dass Groß und Kleinschreibung nicht immer beachtet worden ist.