27. Januar 2011

Um das an einem Beispiel zu demonstrieren: Ein Amazon-Konto, für das einst das Passwort "gutesPasswort" angegeben wurde, lässt sich ebenso gut mit "gutesPas", "GUTESPASSWORT" oder "gutesPasswortschlechtesPasswort" öffnen. Die Passwort-Sicherheit ist damit alleine schon durch die geringe Zeichenzahl deutlich reduziert.

Es wird daher in solchen Fällen empfohlen, das Passwort zu wechseln. So, wie man es ohnehin von Zeit zu Zeit tun sollte. Sobald das Passwort geändert wird, verschwindet auch die Schwachstelle. Dann unterscheidet die Authentifizierung nicht nur zwischen großen und kleinen Buchstaben, sondern es werden auch längere Zeichenfolgen berücksichtigt.

Hintergrund des Fehlers ist vermutlich ein ursprünglich eingesetztes Verfahren zur Erstellung des Hash-Wertes, bei dem unter anderem die Passwort-Eingabe auf acht Zeichen reduziert wurde. Bis zu welchem Zeitpunkt dieses Verfahren zum Einsatz kam, ist nicht bekannt..

Links:

• Reddit