Viren, Spyware, Datenschutz 11.032 Themen, 91.315 Beiträge

News: Kuriose Entdeckung

Alte Amazon Passwörter "leicht" zu knacken

Michael Nickles / 16 Antworten / Baumansicht Nickles

Es wird eigentlich gepredigt, seit es Passwörter gibt: sie sollten möglichst kompliziert sein, aus mehr als dem eigenen Vornamen oder dem vom Hund bestehen. Also: möglichst lang, möglichst mit Groß-/Kleinschreibung und idealerweise noch mit ein paar Sonderzeichen garniert.

Amazon.com scheint diese Jahrzehnte alte Weisheit längere Zeit wohl nicht besonders ernst genommen zu haben, berichtet jetzt Golem.de mit Bezug auf eine Diskussion, die derzeit auf Reddit.com stattfindet.

Dort hat jemand berichtet, dass sein Kundenpasswort von Amazon.com in verschiedenen Variationen akzeptiert wird. Akzeptiert werden beispielsweise "redditre", "redditre1" bis hin zu "ReDdITrE". Amazon.com scheint sich also nur für die ersten acht Zeichen zu interessieren, was danach kommt ist gleichermaßen Schnuppe wie Groß-/Kleinschreibung.

Beziehungsweise so war das wohl bis zu einem gewissen Zeitpunkt. Nach Anlegen eines neuen Passworts für das Amazon-Kundenkonto ließ sich das "Fehlverhalten" nicht mehr reproduzieren. Amazon scheint das Problem vor einiger Zeit also stillschweigend beseitigt zu haben.

Wer ein "älteres" Passwort auf Amazon nutzt, sollte sich also ein neues einrichten. Leider lässt sich nicht dingfest machen, was mit "älteres" genau gemeint ist, da der Umstellungszeitpunkt des Amazon-Passwortmechanismus unbekannt ist.

Bei den Stichworten "Amazon und Passwörter" ist an dieser Stelle noch was erwähnenswert, das kürzlich rauskam. Da hat der deutsche Computerexperte Thomas Roth in seinem Blog mitgeteilt, dass es ihm gelungen ist ein mit WPA-PSK geschütztes WLAN-Passwort binnen 20 Minuten zu knacken.

Die dafür nötige Rechenleistung hat Roth sich einfach beim Cloud Computing Service von Amazon gemietet (Amazon EC2). Roth geht davon aus, dass sein Tool nach Optimierung die Sache in rund sechs Minuten schafft.

Die Mietgebühr für diese Rechenzeit würde dann gerade mal rund 1,70 Dollar betragen.

bei Antwort benachrichtigen
marinierter Michael Nickles

„Alte Amazon Passwörter "leicht" zu knacken“

Optionen

Bin seit November 2005 Amazon-Kunde (seit dem Passwort nicht geändert), und den Trick kann ich nur teilweise bestätigen.

Groß- und Kleinschreibung ist dem tatsächlich egal. Die Sache mit den nur 8 Buchstaben macht er bei mir zum Glück nicht.

Nachdem ich das Passwort nun geändert habe, klappt keiner dieser "Tricks" mehr.

bei Antwort benachrichtigen
Oliver Kühl Michael Nickles

„Alte Amazon Passwörter "leicht" zu knacken“

Optionen

Habe das PW auch mal geändert-wurde mal Zeit und war eh öde (wenn auch nicht naiv einfach).
Doof wäre es natürlich jetzt, wenn es gerade jetzt geknackt wird nach vielen Jahren ohne Probleme...

bei Antwort benachrichtigen
Ralf103 Michael Nickles

„Alte Amazon Passwörter "leicht" zu knacken“

Optionen

Bin 1998 als Telebuch Kunde von Amazon geschluckt worden, habe von damals noch mein altes Pwd von Telebuch und das besteht aus sechs Ziffern, sollte ich vielleicht auch mal erneuern ;-)

bei Antwort benachrichtigen
Olaf19 Michael Nickles

„Alte Amazon Passwörter "leicht" zu knacken“

Optionen

Mein Passwort von 2008 war *nicht* case-sensitiv! Gerade im Selbstversuch probiert und soeben erfolgreich geändert.

Konkret: Ich habe dasselbe Passwort wieder benutzt, jetzt aber darf ich nicht mehr alles ohne Shift-Taste eingeben.

Ziemliche Sauerei von Amazon... Passwörter, die nicht zwischen groß und klein unterscheiden, lächerlich, Steinzeit.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Hausmeister Krause Michael Nickles

„Alte Amazon Passwörter "leicht" zu knacken“

Optionen

THX für den Hinweis. Bin seit 1999 Amazon Kunde, hab mein PWD aber schon länger nicht mehr geändert. Der Effekt trat bei mir auch auf.

Also PWD grad nochmal geändert, und jetzt ist alles gut :)

Wenn Du Sorgen hast, dann erzähle sie nicht Deinen Freunden, sondern Deinen Feinden, denn die freuen sich darüber. - Harald Lesch
bei Antwort benachrichtigen
Synthetic_codes Michael Nickles

„Alte Amazon Passwörter "leicht" zu knacken“

Optionen
Bei den Stichworten "Amazon und Passwörter" ist an dieser Stelle noch was erwähnenswert, das kürzlich rauskam. Da hat der deutsche Computerexperte Thomas Roth in seinem Blog mitgeteilt, dass es ihm gelungen ist ein mit WPA-PSK geschütztes WLAN-Passwort binnen 20 Minuten zu knacken.

Die dafür nötige Rechenleistung hat Roth sich einfach beim Cloud Computing Service von Amazon gemietet (Amazon EC2). Roth geht davon aus, dass sein Tool nach Optimierung die Sache in rund sechs Minuten schafft.


Hi Mike.

Diese Sache ist kalter Kaffee - Die nutzung von EC² Maxi instances ist schon seit einiger Zeit standard. Die Erste Nutzung von EC² als PMK-Cluster ist afaik aus dem Pyrit-Forum bekannt.
Das Python basierte Pyrit schafft dabei auf einer Instanz ca 40.000 PMKs, also etwa 20GB/s SHA1-Hashings/163.8 Millionen Iterationen auf HMAC(SHA1) in PBKDF2.

Es war zu erwarten, dass eine native Lösung wohl noch schneller ist. Ich empfehle den Originalthread in den Pyrit-Foren auf Google Code:
https://groups.google.com/group/pyrit/browse_thread/thread/6fb00f6c41e6ee0c?pli=1
'); DROP TABLE users;--
bei Antwort benachrichtigen
Joerg69 Michael Nickles

„Alte Amazon Passwörter "leicht" zu knacken“

Optionen

Sonderzeichen im Paßwort werden abgewiesen, allerdings mit einer für Laien unverständlichen Fehlermeldung. Im Hilfetext ist auch keine Anleitung über gültige Zeichen. Scheint 'ne schwierige Wissenschaft zu sein. Wahrscheinlich kann sich diese Firma keine Programmierer mehr leisten, um das ordentlich zu machen.

Viele Grüße von Jörg
bei Antwort benachrichtigen
Olaf19 Joerg69

„Sonderzeichen im Paßwort werden abgewiesen, allerdings mit einer für Laien...“

Optionen

Kein Wunder, so dramatisch wie die Umsätze von Amazon ständig in den Keller gehen :-D

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Synthetic_codes Olaf19

„Kein Wunder, so dramatisch wie die Umsätze von Amazon ständig in den Keller...“

Optionen

in den keller? Amazon hat grade erstmalig in der Firmengeschichte 10Mrd US$ Umsatz erwirtschaftet. (siehe die aktuellen Zahlen)

'); DROP TABLE users;--
bei Antwort benachrichtigen
Olaf19 Synthetic_codes

„in den keller? Amazon hat grade erstmalig in der Firmengeschichte 10Mrd US...“

Optionen

Oh sorry, ich hatte die Ironie-Tags vergessen *g*...

Cheers
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Synthetic_codes Olaf19

„Oh sorry, ich hatte die Ironie-Tags vergessen g ... Cheers Olaf“

Optionen

tut mir leid - hatte gestern einen langen tag, da gibts dann manchmal rechenfehler in der Ironieerkennung xD

'); DROP TABLE users;--
bei Antwort benachrichtigen
i.fass Michael Nickles

„Alte Amazon Passwörter "leicht" zu knacken“

Optionen
Die Mietgebühr für diese Rechenzeit würde dann gerade mal rund 1,70 Dollar betragen.

Cool, kostenloses WLAN überall für nur $1,70 pro Standort ;)
Bye UMTS, bye Hotspots :D
Low Orbit Ion Cannon
bei Antwort benachrichtigen
Synthetic_codes i.fass

„ Cool, kostenloses WLAN überall für nur 1,70 pro Standort Bye UMTS, bye...“

Optionen

Der Clevere und kostenbewusste Nutzer berechnet auf der EC² einmal ein PMK set, und benutzt das dann für mehrere netze.

'); DROP TABLE users;--
bei Antwort benachrichtigen
Synthetic_codes

Nachtrag zu: „Der Clevere und kostenbewusste Nutzer berechnet auf der EC² einmal ein PMK set,...“

Optionen

Ich sollte vielleicht darauf noch hinweisen, dass das einbrechen in WPA-gesicherte Netze unter umständen illegal sein kann. Nämlich dann, wenn auf dem AccessPoint kein Linux-System mit supplicant läuft.

Aber selbst wenn auf dem ZielAP ein Linux-System läuft, und dieses Supplicant für das handling von WPA verwendet, dürfte die Argumentation über die Wirksamkeit von unter der GPL implementierten Schutzverfahren beim Fachwissen der deutschen Justiz ziemlich schwer werden.

'); DROP TABLE users;--
bei Antwort benachrichtigen
Olaf19 Synthetic_codes

„Ich sollte vielleicht darauf noch hinweisen, dass das einbrechen in...“

Optionen
dürfte die Argumentation über die Wirksamkeit von unter der GPL implementierten Schutzverfahren beim Fachwissen der deutschen Justiz ziemlich schwer werden.

...was ich nebenbei der Justiz und auch der Politik keineswegs vorwerfe! Niemand kann alles wissen, gerade die ältere Generation tut sich - verständlicherweise! - mitunter etwas schwerer im Umgang mit den neuen Technologien.

Was mich allerdings ärgert, ist die Beratungsresistenz mancher Entscheidungsträger, dass die immer meinen, ihre einsamen Entscheidungen treffen zu müssen, ohne einschlägig vorgebildete Experten zu konsultieren.

CU
Olaf
Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Synthetic_codes Olaf19

„ ...was ich nebenbei der Justiz und auch der Politik keineswegs vorwerfe!...“

Optionen

Naja, insbesondere ist eben fraglich, wie und ob die entsprechende Formulierung in der GPL im deutschen Recht rechtsgültig ist.

'); DROP TABLE users;--
bei Antwort benachrichtigen