Wenn man bei Google z.B. nach den Schlagworten „qnap max password length“ sucht, findet man einige Treffer zu Foreneinträgen, in denen sich Besitzer von QNAP Netzwerkspeichern über eine Grenze bei der Passwortlänge ärgern. Anscheinend war es sogar mal so, dass die Firmware, Passwörter, die länger als 16 Zeichen waren, einfach abschnitt ohne den User zu informieren.
(Dieses Vorgehen ist auch schon bei einigen anderen Anbietern aufgefallen. Ich erinnere mich noch an AOL und das Sparkasse Onlinebanking. Allerdings ist das schon einige Jahre her.)
In den offiziellen Foren wird seit langer Zeit (Aus-)Besserung versprochen, jedoch gibt es auch bei der aktuellsten Firmware-Version immer noch ein Limit von 16 Zeichen (siehe Screenshot).
Wie es sich für ein NAS gehört, kann man auf das System auch auf andere Art als über das Webinterface zugreifen, z.B. per SSH. Wer allerdings versucht sich hier mit seinem Benutzernamen und 16stelligen Passwort anzumelden, wird sich wundern warum der Login verweigert wird. Angeblich ist das Passwort falsch. Auch im Systemlog des NAS werden die „failed login attempts“ aufgelistet. Nach einiger Fehlersuche ist die Ursache gefunden:
Als Passwort für den SSH-Zugang sind nur die ersten 12 Zeichen gültig!
Und das 2014! Oh Man. Dokumentiert wird dies natürlich nirgendwo. Jedenfalls habe ich nichts gefunden.
Das Schlimme daran: das Passwort wird (hoffentlich) gehasht gespeichert und ist dadurch eh immer gleich lang. Egal, wie lang es bei der Eingabe war ^^
Sollte man hoffen. Wenn man das bei der Wahl des Passwortes allerdings nicht vorher weiß, kann das ein echtes Problem werden und einen Bruteforce-Angriff vereinfachen. „Passwort1234$1o.§asf;9&“ sollte ein vermeintlich relativ sicheres Passwort sein. Für den SSH Login braucht es aber nur „Passwort1234“ und sowas ist selbst in jeder halbwegs brauchbaren Passwortliste enthalten.