[Postfixbuch-users] Passwörter in Dovecot

[Peer Heinlein]

Am Montag 11 Oktober 2010 21:13:51 schrieb Mathias Jeschke:


> > HMAC-Hashes *** SIND *** Klartextpasswörter. Ich kann sie -- so wie
> > sie da sind -- benutzen, um mich damit einzuloggen.
> 
> Meiner Meinung nach sind diese Hashes ("Klartextpasswörter") sogar
>  besser als die eigentlichen Passwörter (also das, was der Nutzer in
>  seinen MUA eingibt).

Genau das halte ich jedoch für einen Irrtum und falsch.
 
> Sollte doch mal die Kiste unvertrauenswürdig werden (Trojaner,
>  Root-Exploit, ...) hat der Angreifer eben nicht die Passwörter im

... dann kommt derjenige auch sonst sofort in den meisten Fällen an die 
Klartextpasswörter ran, er muß beispielsweise nur kurz CRAM abschalten 
und PLAIN/LOGIn mitsniffen und bei etwaigen Klartextlogin-Methoden 
(Webmailer) kommt er sowieso leicht ran.

>  Klartext, die evtl. bei anderen Diensten auch gültig sind - da
>  Menschen nunmal dazu neigen ein Passwort an unterschiedlichen
>  Stellen einzusetzen.

Diesen Punkt sehe ich ein, doch hier sind die Nutzer selbst 
verantwortlich.

Ich sehe nicht ein diejenigen Nutzer zu gefährden, die alles sauber 
machen, nur um diejenigen zu schützen, die überall das gleiche PW nutzen 
und sich dann wundern.

> Das Problem der "Aufwärtskompatibilität" hat man dann leider wieder,
> wenn man nicht zusätzlich die eigentlichen Klartextpasswörter
>  speichert.

Eben. 

Also gleich Klartext und dann sensibel damit umgegangen statt in 
falscher vermeindlicher Sicherheit sich selbst belogen.

Peer



-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin