Es wird eigentlich gepredigt, seit es Passwörter gibt: sie sollten möglichst kompliziert sein, aus mehr als dem eigenen Vornamen oder dem vom Hund bestehen. Also: möglichst lang, möglichst mit Groß-/Kleinschreibung und idealerweise noch mit ein paar Sonderzeichen garniert.
Amazon.com scheint diese Jahrzehnte alte Weisheit längere Zeit wohl nicht besonders ernst genommen zu haben, berichtet jetzt Golem.de mit Bezug auf eine Diskussion, die derzeit auf Reddit.com stattfindet.
Dort hat jemand berichtet, dass sein Kundenpasswort von Amazon.com in verschiedenen Variationen akzeptiert wird. Akzeptiert werden beispielsweise "redditre", "redditre1" bis hin zu "ReDdITrE". Amazon.com scheint sich also nur für die ersten acht Zeichen zu interessieren, was danach kommt ist gleichermaßen Schnuppe wie Groß-/Kleinschreibung.
Beziehungsweise so war das wohl bis zu einem gewissen Zeitpunkt. Nach Anlegen eines neuen Passworts für das Amazon-Kundenkonto ließ sich das "Fehlverhalten" nicht mehr reproduzieren. Amazon scheint das Problem vor einiger Zeit also stillschweigend beseitigt zu haben.
Wer ein "älteres" Passwort auf Amazon nutzt, sollte sich also ein neues einrichten. Leider lässt sich nicht dingfest machen, was mit "älteres" genau gemeint ist, da der Umstellungszeitpunkt des Amazon-Passwortmechanismus unbekannt ist.
Bei den Stichworten "Amazon und Passwörter" ist an dieser Stelle noch was erwähnenswert, das kürzlich rauskam. Da hat der deutsche Computerexperte Thomas Roth in seinem Blog mitgeteilt, dass es ihm gelungen ist ein mit WPA-PSK geschütztes WLAN-Passwort binnen 20 Minuten zu knacken.
Die dafür nötige Rechenleistung hat Roth sich einfach beim Cloud Computing Service von Amazon gemietet (Amazon EC2). Roth geht davon aus, dass sein Tool nach Optimierung die Sache in rund sechs Minuten schafft.
Die Mietgebühr für diese Rechenzeit würde dann gerade mal rund 1,70 Dollar betragen.