Nieuws
image

Amazon beveiligingslek treft oude wachtwoorden

zaterdag 29 januari 2011, 12:02 door Redactie, 2 reacties

Een beveiligingslek in de inlogprocedure van webwinkel Amazon zorgt ervoor dat ook allerlei variaties van wachtwoorden worden geaccepteerd. Wie als wachtwoord “Wachtwoord” heeft, kan op Amazon.com ook met “WACHTWOORD”, “wachtwoord”, “wachtwoordwachtwoord” en “wachtwoord12345” inloggen. Het probleem werd als eerste op Reddit gemeld en is nu ook door Wired bevestigd, maar Amazon heeft nog altijd niet gereageerd.

Volgens lezers van Reddit gebruikt Amazon zeer waarschijnlijk de unix crypt() functie om oudere wachtwoorden te versleutelen, waarbij ze eerst naar hoofdletters worden geconverteerd, voordat ze op de server worden opgeslagen. Het probleem treft alleen bij gebruikers met oudere wachtwoorden, die lange tijd niet gewijzigd zijn. Deze gebruikers krijgen het advies om in te loggen en het wachtwoord te wijzigen. Zelfs het opnieuw opgeven van hetzelfde wachtwoord zou het probleem al oplossen.

Reacties (2)
29-01-2011, 13:02 door Anoniem
De UNIX crypt() functie ondersteunt verscheidene encryptiemethodes de meeste UNIXen, waaronder de extreem veilige Blowfish-implementatie van OpenBSD en de SHA-2-gebaseerde implementatie van Ulrich Drepper als je een beetje modern systeem hebt.

Wachtwoorden langer dan 8 karakters worden alleen in de originele UNIX DES-implementatie uit de jaren '70 afgekapt tot 8 karakters. Deze methode doet echter *niet* de wachtwoorden uppercasen alvorens ze te hashen, dus dit aspect is waarschijnlijk een bedenksel van Amazon om de "gebruikersvriendelijkheid" te verhogen; ook als je Caps Lock aan hebt staan werkt je wachtwoord nog.
30-01-2011, 07:18 door Syzygy
De makkelijkste manier om van je geld af te komen.

AMAZING AMAZON, MIJN WINKEL !!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure