Viren, Spyware, Datenschutz 11.218 Themen, 94.243 Beiträge

News: Kuriose Entdeckung

Alte Amazon Passwörter "leicht" zu knacken

Michael Nickles / 16 Antworten / Flachansicht Nickles

Es wird eigentlich gepredigt, seit es Passwörter gibt: sie sollten möglichst kompliziert sein, aus mehr als dem eigenen Vornamen oder dem vom Hund bestehen. Also: möglichst lang, möglichst mit Groß-/Kleinschreibung und idealerweise noch mit ein paar Sonderzeichen garniert.

Amazon.com scheint diese Jahrzehnte alte Weisheit längere Zeit wohl nicht besonders ernst genommen zu haben, berichtet jetzt Golem.de mit Bezug auf eine Diskussion, die derzeit auf Reddit.com stattfindet.

Dort hat jemand berichtet, dass sein Kundenpasswort von Amazon.com in verschiedenen Variationen akzeptiert wird. Akzeptiert werden beispielsweise "redditre", "redditre1" bis hin zu "ReDdITrE". Amazon.com scheint sich also nur für die ersten acht Zeichen zu interessieren, was danach kommt ist gleichermaßen Schnuppe wie Groß-/Kleinschreibung.

Beziehungsweise so war das wohl bis zu einem gewissen Zeitpunkt. Nach Anlegen eines neuen Passworts für das Amazon-Kundenkonto ließ sich das "Fehlverhalten" nicht mehr reproduzieren. Amazon scheint das Problem vor einiger Zeit also stillschweigend beseitigt zu haben.

Wer ein "älteres" Passwort auf Amazon nutzt, sollte sich also ein neues einrichten. Leider lässt sich nicht dingfest machen, was mit "älteres" genau gemeint ist, da der Umstellungszeitpunkt des Amazon-Passwortmechanismus unbekannt ist.

Bei den Stichworten "Amazon und Passwörter" ist an dieser Stelle noch was erwähnenswert, das kürzlich rauskam. Da hat der deutsche Computerexperte Thomas Roth in seinem Blog mitgeteilt, dass es ihm gelungen ist ein mit WPA-PSK geschütztes WLAN-Passwort binnen 20 Minuten zu knacken.

Die dafür nötige Rechenleistung hat Roth sich einfach beim Cloud Computing Service von Amazon gemietet (Amazon EC2). Roth geht davon aus, dass sein Tool nach Optimierung die Sache in rund sechs Minuten schafft.

Die Mietgebühr für diese Rechenzeit würde dann gerade mal rund 1,70 Dollar betragen.

bei Antwort benachrichtigen
Synthetic_codes Nachtrag zu: „Der Clevere und kostenbewusste Nutzer berechnet auf der EC² einmal ein PMK set,...“
Optionen

Ich sollte vielleicht darauf noch hinweisen, dass das einbrechen in WPA-gesicherte Netze unter umständen illegal sein kann. Nämlich dann, wenn auf dem AccessPoint kein Linux-System mit supplicant läuft.

Aber selbst wenn auf dem ZielAP ein Linux-System läuft, und dieses Supplicant für das handling von WPA verwendet, dürfte die Argumentation über die Wirksamkeit von unter der GPL implementierten Schutzverfahren beim Fachwissen der deutschen Justiz ziemlich schwer werden.

'); DROP TABLE users;--
bei Antwort benachrichtigen