Amazon: alte Passwörter unsicher

Ein Heise-Leser staunte nicht schlecht, als er sein Amazon-Passwort aus Versehen doppelt eingab und trotzdem eingeloggt wurde. Heise Security versuchte darauf, das merkwürdige Login-Verhalten zu reproduzieren, und fand dabei einige interessante Details heraus. Fast alle Nutzer mit einem exakt 8 Zeichen langen Passwort konnten das Problem nachstellen. Ein weiterer Nutzer mit einem Passwort von 11 Zeichen wurde hereingelassen, wenn er mindestens die ersten 8 Zeichen eingab. Alles danach konnte er beliebig verändern und wurde trotzdem hereingelassen.

Warum genau die Passwortabfrage von Amazon derart aussetzt, ist nicht bekannt. Die Pressestelle von Amazon.de wollte zum Thema keine Stellung nehmen. Mögliche Gründe sind, dass Amazon nur den Hash-Wert der ersten acht Zeichen des Passworts speichert. Gespeicherte Kennwörter im Klartext wären ebenfalls eine mögliche Erklärung, scheinen bei einem Grosskonzern wie Amazon aber unwahrscheinlich.

Betroffen sind Accounts mit Passwörtern von 8 Zeichen und mehr, die seit einigen Jahren ihr Passwort nicht mehr geändert haben. Neuere Passwörter scheinen normal zu funktionieren. Das Problem besteht mindestens auf Amazon.de (auch für die Schweiz), Amazon.fr, Amazon.co.uk und Amazon.com, da diese Seiten alle auf dieselbe Passwortdatenbank zurückgreifen.

Ob man selbst ein betroffenes Passwort besitzt, lässt sich einfach herausfinden. Hat das Passwort genau 8 Zeichen, gibt man es entweder zweimal hintereinander ein oder erweitert es um einige beliebige Zeichen. Bei längeren Passwörtern sollte man ausprobieren, ob man am Ende Zeichen weglassen kann und dennoch eingeloggt wird. In jedem Fall ist die Änderung des Passworts empfehlenswert.