Viren, Spyware, Datenschutz 11.241 Themen, 94.640 Beiträge

News: Kuriose Entdeckung

Alte Amazon Passwörter "leicht" zu knacken

Michael Nickles / 16 Antworten / Flachansicht Nickles

Es wird eigentlich gepredigt, seit es Passwörter gibt: sie sollten möglichst kompliziert sein, aus mehr als dem eigenen Vornamen oder dem vom Hund bestehen. Also: möglichst lang, möglichst mit Groß-/Kleinschreibung und idealerweise noch mit ein paar Sonderzeichen garniert.

Amazon.com scheint diese Jahrzehnte alte Weisheit längere Zeit wohl nicht besonders ernst genommen zu haben, berichtet jetzt Golem.de mit Bezug auf eine Diskussion, die derzeit auf Reddit.com stattfindet.

Dort hat jemand berichtet, dass sein Kundenpasswort von Amazon.com in verschiedenen Variationen akzeptiert wird. Akzeptiert werden beispielsweise "redditre", "redditre1" bis hin zu "ReDdITrE". Amazon.com scheint sich also nur für die ersten acht Zeichen zu interessieren, was danach kommt ist gleichermaßen Schnuppe wie Groß-/Kleinschreibung.

Beziehungsweise so war das wohl bis zu einem gewissen Zeitpunkt. Nach Anlegen eines neuen Passworts für das Amazon-Kundenkonto ließ sich das "Fehlverhalten" nicht mehr reproduzieren. Amazon scheint das Problem vor einiger Zeit also stillschweigend beseitigt zu haben.

Wer ein "älteres" Passwort auf Amazon nutzt, sollte sich also ein neues einrichten. Leider lässt sich nicht dingfest machen, was mit "älteres" genau gemeint ist, da der Umstellungszeitpunkt des Amazon-Passwortmechanismus unbekannt ist.

Bei den Stichworten "Amazon und Passwörter" ist an dieser Stelle noch was erwähnenswert, das kürzlich rauskam. Da hat der deutsche Computerexperte Thomas Roth in seinem Blog mitgeteilt, dass es ihm gelungen ist ein mit WPA-PSK geschütztes WLAN-Passwort binnen 20 Minuten zu knacken.

Die dafür nötige Rechenleistung hat Roth sich einfach beim Cloud Computing Service von Amazon gemietet (Amazon EC2). Roth geht davon aus, dass sein Tool nach Optimierung die Sache in rund sechs Minuten schafft.

Die Mietgebühr für diese Rechenzeit würde dann gerade mal rund 1,70 Dollar betragen.

bei Antwort benachrichtigen
Synthetic_codes Michael Nickles „Alte Amazon Passwörter "leicht" zu knacken“
Optionen
Bei den Stichworten "Amazon und Passwörter" ist an dieser Stelle noch was erwähnenswert, das kürzlich rauskam. Da hat der deutsche Computerexperte Thomas Roth in seinem Blog mitgeteilt, dass es ihm gelungen ist ein mit WPA-PSK geschütztes WLAN-Passwort binnen 20 Minuten zu knacken.

Die dafür nötige Rechenleistung hat Roth sich einfach beim Cloud Computing Service von Amazon gemietet (Amazon EC2). Roth geht davon aus, dass sein Tool nach Optimierung die Sache in rund sechs Minuten schafft.


Hi Mike.

Diese Sache ist kalter Kaffee - Die nutzung von EC² Maxi instances ist schon seit einiger Zeit standard. Die Erste Nutzung von EC² als PMK-Cluster ist afaik aus dem Pyrit-Forum bekannt.
Das Python basierte Pyrit schafft dabei auf einer Instanz ca 40.000 PMKs, also etwa 20GB/s SHA1-Hashings/163.8 Millionen Iterationen auf HMAC(SHA1) in PBKDF2.

Es war zu erwarten, dass eine native Lösung wohl noch schneller ist. Ich empfehle den Originalthread in den Pyrit-Foren auf Google Code:
https://groups.google.com/group/pyrit/browse_thread/thread/6fb00f6c41e6ee0c?pli=1
'); DROP TABLE users;--
bei Antwort benachrichtigen