Amazon Login mit Passwort-varianten

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

03.02.2011 - 13:11

dachte mir zuerst nicht dass es funktioniert, hab jetzt aber schon von ein paar leuten gehört bei denen es möglich war.
ich hab mein amazon passwort vor ca. 4 jahren gewechselt und es funktioniert bei mir nicht.
dürfte wirklich sehr alte passwörter betreffen!

Zitat
Beim Login akzeptiert Amazon bei manchen Accounts auch Passwörter, die dem richtigen nicht exakt entsprechen. So wird die Groß- und Kleinschreibung ebenso ignoriert wie Zeichen nach der achten Stelle. Statt "Passwort" funktionieren also auch "pASSWORT" und passwort123".

Quelle: heise security

passwort einfach ändern, dann wird es auch richtig abgelegt.

hth

wutzdutz

owned by 50''

Registered: May 2001
Location: Baden bei Wien
Posts: 1639

03.02.2011 - 13:14

mein passwort ist 8 zeichen lang und wenn ich ein paar zeichen hinten hinzufüge, kann ich mich nicht einloggen.

edit: aja, bei "manchen" accounts... meiner gehört dann nicht dazu

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15864

03.02.2011 - 13:15

witzig, d.h. die müssen damals die ersten 8 stellen gesplitted, .tolower gewandelt und erst danach den hash erzeugt haben

oder wie kann ich mir das vorstellen dass das funktioniert

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

03.02.2011 - 13:30

thx für die Info! Meinen Account hats betroffen.

Netter bug!

DKCH

Administrator
...

Registered: Aug 2002
Location: #
Posts: 3301

03.02.2011 - 13:35

tatsächlich :eek:

nice1

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

03.02.2011 - 13:55

Zitat von userohnenamen
witzig, d.h. die müssen damals die ersten 8 stellen gesplitted, .tolower gewandelt und erst danach den hash erzeugt haben
oder wie kann ich mir das vorstellen dass das funktioniert

zusätzlich muss natürlich das passwort nach der eingabe heute noch genauso gehasht werden - eh klar. heißt aber auch, dass sie sozusagen noch legacy systeme haben für alle accounts die ihr passwort in den letzten jahren nicht geändert haben.

mich hats übrigens auch betroffen, aber nur das lowercase problem. mein passwort war 10 zeichen und ich konnte hinten nichts anhängen. groß und kleinschreibung hat er aber ignoriert. ich hatte schon mal den verdacht, weil ich normal immer upercase verwende, bei amazon war das aber nie notwendig. es ist mir immer komisch vorgekommen, aber ich hab nie eine schwachstelle bei amazon vermutet.

Bearbeitet von Smut am 03.02.2011, 13:57

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15864

03.02.2011 - 14:05

Zitat von Smut
zusätzlich muss natürlich das passwort nach der eingabe heute noch genauso gehasht werden - eh klar. heißt aber auch, dass sie sozusagen noch legacy systeme haben für alle accounts die ihr passwort in den letzten jahren nicht geändert haben.

jop, irgendwo is ein datum mit drinnen und vor einem gewissen datum wird dann auf die b-routine für passwörter zugegriffen
da amazon nie versucht hat das zu ändern kanns nur sein das sie angst hatten kunden zu verlieren die nicht mehr in ihren account reinkönnen

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4303

03.02.2011 - 14:19

so ein Verhalten ist aber nicht unüblich. Auch Foren/CMS die von md5 auf sha umgestiegen sind benutzen meistens beides nur mit dem Unterschied, daß sie meistens bei der nächsten Anmeldung automatisch das PW mit dem neuen Hash speichern.

Smut

takeover &amp; ether

Registered: Feb 2003
Location: VIE
Posts: 16867

03.02.2011 - 14:23

was die sache ja auch nicht unbedingt besser macht.

ist einfach ein punkt wo ehrlichkeit gegenüber dem kunden gefragt ist. wenn amazon den hinweis bringt, dann werden die meisten auch verständnis haben und das ganze ändern. so ists einfach nur bullshit.

BiG_WEaSeL

Elder
-

Registered: Jun 2000
Location: Wien
Posts: 8357

03.02.2011 - 14:37

Danke, mein Account war betroffen (8 Zeichen und konnte hinten irgendetwas anhängen). Sofort pw geändert.

grond

---------

Registered: Aug 2004
Location: 8401
Posts: 3198

03.02.2011 - 14:43

Das Passwort an sich musste ja stimmen, find ich jetzt nicht so tragisch, die Sicherheit bleibt ja die gleiche.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15864

03.02.2011 - 14:45

jein
wenn mein passwort "Alexander.D!0m" war, dann hätte schon "alexande" genügt um reinzukommen

Bearbeitet von userohnenamen am 03.02.2011, 14:52 (bledsinn)

3mind

mimimi

Registered: Sep 2004
Location: 1030
Posts: 1594

03.02.2011 - 14:46

Zitat von grond
Das Passwort an sich musste ja stimmen, find ich jetzt nicht so tragisch, die Sicherheit bleibt ja die gleiche.

hä? versteh ich nicht. wie kann ein 8stelliges passwort gleich sicher wie ein sagen wir mal 20stelliges sein? (casing jetzt mal außer acht gelassen). erklär mal...

3mind

mimimi

Registered: Sep 2004
Location: 1030
Posts: 1594

03.02.2011 - 14:47

del

grond

---------

Registered: Aug 2004
Location: 8401
Posts: 3198

03.02.2011 - 14:50

aso ok ich habs falsch verstanden, dachte das Passwort an sich (xx Stellen)musste richtig sein + man konnte noch x stellen dazuschreiben, hab das überlesen, dass es das Passworrt auf 8 Stellen abkürzt

Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	03.02.2011 - 13:11 dachte mir zuerst nicht dass es funktioniert, hab jetzt aber schon von ein paar leuten gehört bei denen es möglich war. ich hab mein amazon passwort vor ca. 4 jahren gewechselt und es funktioniert bei mir nicht. dürfte wirklich sehr alte passwörter betreffen! Zitat Beim Login akzeptiert Amazon bei manchen Accounts auch Passwörter, die dem richtigen nicht exakt entsprechen. So wird die Groß- und Kleinschreibung ebenso ignoriert wie Zeichen nach der achten Stelle. Statt "Passwort" funktionieren also auch "pASSWORT" und passwort123". Quelle: heise security passwort einfach ändern, dann wird es auch richtig abgelegt. hth
wutzdutz owned by 50'' Registered: May 2001 Location: Baden bei Wien Posts: 1639	03.02.2011 - 13:14 mein passwort ist 8 zeichen lang und wenn ich ein paar zeichen hinten hinzufüge, kann ich mich nicht einloggen. edit: aja, bei "manchen" accounts... meiner gehört dann nicht dazu
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15864	03.02.2011 - 13:15 witzig, d.h. die müssen damals die ersten 8 stellen gesplitted, .tolower gewandelt und erst danach den hash erzeugt haben oder wie kann ich mir das vorstellen dass das funktioniert
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	03.02.2011 - 13:30 thx für die Info! Meinen Account hats betroffen. Netter bug!
DKCH Administrator ... Registered: Aug 2002 Location: # Posts: 3301	03.02.2011 - 13:35 tatsächlich nice1
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	03.02.2011 - 13:55 Zitat von userohnenamen witzig, d.h. die müssen damals die ersten 8 stellen gesplitted, .tolower gewandelt und erst danach den hash erzeugt haben oder wie kann ich mir das vorstellen dass das funktioniert zusätzlich muss natürlich das passwort nach der eingabe heute noch genauso gehasht werden - eh klar. heißt aber auch, dass sie sozusagen noch legacy systeme haben für alle accounts die ihr passwort in den letzten jahren nicht geändert haben. mich hats übrigens auch betroffen, aber nur das lowercase problem. mein passwort war 10 zeichen und ich konnte hinten nichts anhängen. groß und kleinschreibung hat er aber ignoriert. ich hatte schon mal den verdacht, weil ich normal immer upercase verwende, bei amazon war das aber nie notwendig. es ist mir immer komisch vorgekommen, aber ich hab nie eine schwachstelle bei amazon vermutet. Bearbeitet von Smut am 03.02.2011, 13:57
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15864	03.02.2011 - 14:05 Zitat von Smut zusätzlich muss natürlich das passwort nach der eingabe heute noch genauso gehasht werden - eh klar. heißt aber auch, dass sie sozusagen noch legacy systeme haben für alle accounts die ihr passwort in den letzten jahren nicht geändert haben. jop, irgendwo is ein datum mit drinnen und vor einem gewissen datum wird dann auf die b-routine für passwörter zugegriffen da amazon nie versucht hat das zu ändern kanns nur sein das sie angst hatten kunden zu verlieren die nicht mehr in ihren account reinkönnen
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4303	03.02.2011 - 14:19 so ein Verhalten ist aber nicht unüblich. Auch Foren/CMS die von md5 auf sha umgestiegen sind benutzen meistens beides nur mit dem Unterschied, daß sie meistens bei der nächsten Anmeldung automatisch das PW mit dem neuen Hash speichern.
Smut takeover &amp; ether Registered: Feb 2003 Location: VIE Posts: 16867	03.02.2011 - 14:23 was die sache ja auch nicht unbedingt besser macht. ist einfach ein punkt wo ehrlichkeit gegenüber dem kunden gefragt ist. wenn amazon den hinweis bringt, dann werden die meisten auch verständnis haben und das ganze ändern. so ists einfach nur bullshit.
BiG_WEaSeL Elder - Registered: Jun 2000 Location: Wien Posts: 8357	03.02.2011 - 14:37 Danke, mein Account war betroffen (8 Zeichen und konnte hinten irgendetwas anhängen). Sofort pw geändert.
grond --------- Registered: Aug 2004 Location: 8401 Posts: 3198	03.02.2011 - 14:43 Das Passwort an sich musste ja stimmen, find ich jetzt nicht so tragisch, die Sicherheit bleibt ja die gleiche.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15864	03.02.2011 - 14:45 jein wenn mein passwort "Alexander.D!0m" war, dann hätte schon "alexande" genügt um reinzukommen Bearbeitet von userohnenamen am 03.02.2011, 14:52 (bledsinn)
3mind mimimi Registered: Sep 2004 Location: 1030 Posts: 1594	03.02.2011 - 14:46 Zitat von grond Das Passwort an sich musste ja stimmen, find ich jetzt nicht so tragisch, die Sicherheit bleibt ja die gleiche. hä? versteh ich nicht. wie kann ein 8stelliges passwort gleich sicher wie ein sagen wir mal 20stelliges sein? (casing jetzt mal außer acht gelassen). erklär mal...
3mind mimimi Registered: Sep 2004 Location: 1030 Posts: 1594	03.02.2011 - 14:47 del
grond --------- Registered: Aug 2004 Location: 8401 Posts: 3198	03.02.2011 - 14:50 aso ok ich habs falsch verstanden, dachte das Passwort an sich (xx Stellen)musste richtig sein + man konnte noch x stellen dazuschreiben, hab das überlesen, dass es das Passworrt auf 8 Stellen abkürzt

Amazon Login mit Passwort-varianten

Forum Index > Digital Life > Internet & Provider

Smut

wutzdutz

userohnenamen

EG

DKCH

Smut

userohnenamen

kleinerChemiker

Smut

BiG_WEaSeL

grond

userohnenamen

3mind

3mind

grond