Hallo liebe Community,

ich habe einen wichtigen Hinweis zum Ändern des Admin-Passworts bei einem Vodafone-Router.

Beim Ändern des Admin-Passworts wird angezeigt, dass das Passwort maximal 31 Zeichen lang sein darf. Gibt man jedoch ein Passwort mit mehr als 31 Zeichen ein, zum Beispiel mit 32 Zeichen, erscheint in der Benutzeroberfläche kein Hinweis darauf, dass das Passwort unzulässig ist.

Stattdessen lässt sich das 32-stellige Passwort problemlos eingeben, und die Änderung wird scheinbar erfolgreich übernommen.

Tatsächlich schneidet der Router jedoch alle Zeichen nach dem 31. Zeichen stillschweigend ab und speichert nur die ersten 31 Zeichen als neues Passwort.

Beispiel:

Passwort mit 32 Zeichen:
K2EFXapzPNhypSDsYTtMnsP8UdMSxNUP

In diesem Fall speichert der Router nur die ersten 31 Zeichen. Das letzte Zeichen, also das P, wird einfach abgeschnitten.

Das ist besonders problematisch, wenn man – wie ich – einen Passwortmanager nutzt, der automatisch ein 32-stelliges Passwort generiert und dieses anschließend speichert. Im Passwortmanager steht dann das vollständige Passwort, während der Router intern nur die gekürzte Version verwendet. Das gespeicherte Passwort ist somit nicht mehr korrekt.

Wenn man dieses Verhalten nicht kennt, bleibt im schlimmsten Fall nur ein Reset des Routers, um wieder Zugriff mit dem Standardpasswort zu erhalten. Das eigentlich eingegebene Passwort funktioniert dann nämlich nicht mehr.

Daher meine Bitte beziehungsweise Frage an Vodafone:

Bitte ergänzt eine Frontend-Validierung, die verhindert, dass Passwörter mit mehr als 31 Zeichen eingegeben oder gespeichert werden können. Alternativ sollte die Benutzeroberfläche zumindest einen klaren Hinweis anzeigen, dass das Passwort zu lang ist und nicht vollständig übernommen wird.

(English Version)

Hi everyone,

I’d like to share an important note about changing the admin password on a Vodafone router.

When changing the admin password, the interface states that the password may be a maximum of 31 characters long. However, if you enter a password with more than 31 characters, for example 32 characters, the UI does not show any warning that the password is invalid.

Instead, you can enter the 32-character password, and the change appears to be accepted successfully.

In reality, the router silently cuts off all characters after the 31st character and only saves the first 31 characters as the new password.

Example:

Password with 32 characters:
K2EFXapzPNhypSDsYTtMnsP8UdMSxNUP

In this case, the router only saves the first 31 characters. The final character, the P, is simply removed.

This is especially problematic if, like me, you use a password manager that automatically generates a 32-character password and then saves it. The password manager stores the full password, while the router internally uses only the shortened version. As a result, the saved password is incorrect.

If you are not aware of this behavior, the only option in the worst case may be to reset the router in order to regain access using the default password, since the password you actually entered no longer works.

So my request/question to Vodafone is:

Please add frontend validation that prevents users from entering or saving passwords longer than 31 characters. Alternatively, the UI should at least show a clear warning that the password is too long and will not be saved in full.