Die Anmelde-Server von Amazon sollen bei einigen Kundenkonten auch falsche Kennwörter akzeptieren. Das haben die Kollegen von heise Security herausgefunden. Nach einem Hinweis eines Lesers, der versehentlich sein Kennwort zweimal hintereinander in das Passwort-Feld beim Login eingegeben hatte und sich trotzdem ohne Probleme nach einem Klick auf „Weiter“ einloggen konnte, sind die Kollegen aus Hannover Buchholz-Kleefeld der Sache näher auf den Grund gegangen. Insgesamt machten sich 30 Mitarbeiter des Verlags ans Werk und versuchten den Fehler bei ihren Amazon-Accounts zu reproduzieren.

Mit Erfolg: Bei vier Kollegen gelang der Login auch mit mehreren Zeichen hinter dem eigentlichen Passwort. Das Kennwort des Lesers und von drei der betroffenen Kollegen umfasste jeweils exakt acht Zeichen. Beim vierten Kollege gab es einen Ausreiser. Sein Passwort hatte eigentlich elf Zeichen, doch der Login in das Amazon-Konto funktionierte schon nach der Eingabe der ersten acht Zeichen. Die letzten drei Stellen mussten für einen erfolgreichen Login nicht mehr eingegeben werden. Vermutlich hat Amazon beim Anlegen des Kontos offenbar nur die ersten acht Stellen des eingegebenen Kennworts gespeichert.

Die Vermutung liegt nahe, dass Amazon im besten Fall nur einen Hash-Wert aus den ersten acht Zeichen des Kennworts erzeugt und in seiner Datenbank abgespeichert hat. Im schlimmsten Fall werden die Kennwörter allerdings im Klartext abgelegt. Da das Problem nur unter bestimmten Umständen auftritt und nicht alle Accounts betrifft, lässt sich über dieses Phänomen derzeit nur spekulieren. Ein Anfrage seitens des heise-Verlags bei der Pressestelle von Amazon.de blieb bislang unbeantwortet.

Wer ein Passwort mit acht oder elf Stellen bei Amazon verwendet, den empfehlen die Kollegen von heise Security einen kurzen Check. Betroffene Kunden sollten ihr Passwort dann vorsichtshalber abändern. Das Problem soll nicht nur den deutsche Amazon-Store betreffen, sondern auch Amazon.fr, Amazon.co.uk und Amazon.com, da die Portale auf eine gemeinsame Account-Datenbank zurückgreifen sollen.

Laut heise online soll das Problem schon länger Bestand haben. Bereits im Januar 2011 berichtete das Magazin darüber, dass man sich bei Amazon.de auch mit einer anderen Schreibweise des Kennwortes ohne Probleme einloggen konnte (PASSWORT statt Passwort).