Amazon: Ältere Passwörter nicht sicher genug (3) [Quelle: siehe Bildergalerie]
Ein sicheres Passwort sollte ausreichend lang sein, keinem echten Wort entsprechen, keine persönlichen Informationen beinhalten, Groß- und Kleinschreibung kombinieren sowie Sonderzeichen und Zahlen beinhalten. Eine chaotische Kombination aus Zahlen, Sonderzeichen und Buchstaben ist der Tipp vieler Sicherheitsexperten. Amazon-Kunden, die den Login mit E-Mail und Passwort schon vor einigen Jahren erstellt haben, sind nun laut Berichten gefährdet.
So soll bei älteren Amazon-Kennwörtern Groß- und Kleinschreibung sowie alle Eingaben nach der achten Stelle nicht berücksichtigt werden. Statt dem Kennwort "Passwort" funktioniert also auch "passwort", "PASSWORT" oder "Passwort12345". Ein Einbruch in das Amazon-Konto wäre somit mit deutlich mehr Passwortvarianten möglich als vom Konto-Besitzer erwartet.
Man vermutet, dass Amazon vor einigen Jahren nur die ersten acht Zeichen ohne Beachtung der Groß- und Kleinschreibung genutzt hat um Hashwerte zu ermitteln. Der Fehler wurde bereits von Amazon korrigiert: Wer in jüngerer Zeit ein Passwort bei dem Onlinehändler erstellt hat, ist von dem Fehler nicht betroffen. Amazon-Kunden die sicher sein möchten, dass das Passwort dem neuesten Stand der Sicherheitstechnik entspricht, müssen das Kennwort nur noch einmal neu anlegen.
Quelle: reddit.com Reklame: Verpassen Sie keinesfalls den stets aktuellen PCGH-Schnäppchenführer mit
Tiefpreis-Tipps für DVD, Blu-ray und Spiele.
Alle Infos zum
Firefox, dem Internetbrowser von Mozilla, finden Sie auf der Themenwebseite. Auch zum
Internet Explorer, dem Internetbrowser von Microsoft, finden Sie alles auf der Themenwebseite. Wenn Sie sich für
Chrome, den Internetbrowser von Google interessieren, sollten Sie die passende Specialseiten anrufen. News, Tests, Downloads und Wissen zu Themen wie
Internet-Browser, Suchmaschinen und soziale Netzwerke finden Sie auf der Internet-Übersichtsseite von PC Games Hardware Online.
Moderator
30.01.2011 19:51
70 Zufallszeichen ohne jegliches System auswendig
Ich hab schon mit 8 stelligen gar-nicht-so-systemlosen Kombinationen ein Problem, wenn ich die nicht min. wöchentlich anwende.
Wie lässt man bitte nochmal das Passwort von einem account ändern, der eine fremde e-Mailadresse eingetragen hat?
Und das mit dem Zuschicken ist auch so eine Sache: Amazon bietet Downloadinhalte, d.h. es ist nicht mehr ohne weiteres nachvollziehbar, an wen die Ware geliefert wurde.
Allerdings muss ich zustimmen, dass das Passwort wohl das kleinste Problem ist. Die meisten Angreifer versuchen ja mitlerweile eher, einem dieses direkt zu entlocken. Man darf dabei ja auch nicht den Aufwand vergessen:
Was nützt einem ein Listenbasierter Angriff, der einen Account mit mangelhaft zufälligem Passwort nach "nur" 1000 Versuchen (ggf. mit einer Stunde warten alle 10 Versuche) knackt? Jeder Serverbetreiber, der auch nur rudimentäre Mechanismen gegen DoS implementiert, hat den Angreifer da schon lange geblockt.
Und was kann der Angreifer gewinnen? Eine Liste von in der Vergangenheit gekauften Produkten? Einen Blick auf einen Kontostand? Mod-Rechte im PCGH-Forum? Die wenigstens Shops speichern Konto- oder Kreditkarteninformationen in einer wiederverwendbaren Form (und wer einigermaßen sicher sein will, der bestellt eh per Nachnahme oder Überweisung), die meisten Plattformen (inkl. E-Mail) ermöglichen es maximal, denn Accountinhaber lächerlich zu machen. Das ist für den getroffenen sehr unangenehm und kostet ggf. viel Zeit zur Wiederherstellung, aber es bringt dem Angreifer rein gar nichts. In den meisten Fällen wird er froh sein, wenn ein paar hundert Addressdaten zusammenträgt.
Mit einem gefakten Gewinnspiel könnte er wesentlich bequemer an zehntausende kommen (und auch noch selektiv von Leuten, die einem alles glauben
Fazit:
Gucken, wo im Internet man was preisgibt - i.d.R. hat man ein ""sicheres"" Passwort nicht nötig und ist selbst das größte Risikoelement.
Und überhaupt: 00000000 ist bekanntermaßen sicher genug für jedes noch so hohe Gefahrenpotential.
PCGH-Community-Veteran
30.01.2011 00:13
Wenn es nach mir ginge sollten keine Sicherheitsrichtlinien vorgegeben sein. Wer 1234 oder 0000 als Kennwort will soll es, meinetwegen nach einem Wahrnhinweis, auch bekommen.
Meine persönlichen Standardkennworte sind zwar nicht ganz so simpel aber genügen heutigen Richtlinien nicht mehr. Aber was soll ich machen, ich weiß wenigstens 200 Kundenkennworte + meine (vielleicht) 5 Standardkennworte. Alles darüber hinaus ist für mich eine blanke Zumutung.
PC-Selbstbauer
29.01.2011 22:41
Sicherheitswahnsinnige gibt es....
8 Stellen für Foren, 12 für alles was mit Geld zu tun hat und ein regelhafter Aufbau aus pseudoworten, die in keinem Lexikon stehen, dafür aber noch merkbar sind, plus ein oder zwei Zahlen/Satzzeichen und gut ist.
Nur durch Brute-Force kommt da keiner mehr durch.
Wer ernsthaft in jedem bescheuerten Account passwörter wie 093u09rjh89023um48n2d9 verwendet, der ... naja hat hoffentlich wenigstens ein paar Staatsgeheimnisse zu verstecken.