[Postfixbuch-users] Passwörter in Dovecot

Mathias Jeschke postfixbuch-users at gmj.cjb.net
Mo Okt 11 21:13:51 CEST 2010


Am 11.10.10 21:05, schrieb Peer Heinlein:

> Meine Antwort ist darauf immer:
> 
> HMAC-Hashes *** SIND *** Klartextpasswörter. Ich kann sie -- so wie sie 
> da sind -- benutzen, um mich damit einzuloggen.

Meiner Meinung nach sind diese Hashes ("Klartextpasswörter") sogar besser
als die eigentlichen Passwörter (also das, was der Nutzer in seinen MUA eingibt).

Sollte doch mal die Kiste unvertrauenswürdig werden (Trojaner, Root-Exploit, ...)
hat der Angreifer eben nicht die Passwörter im Klartext, die evtl. bei
anderen Diensten auch gültig sind - da Menschen nunmal dazu neigen
ein Passwort an unterschiedlichen Stellen einzusetzen.

Das Problem der "Aufwärtskompatibilität" hat man dann leider wieder,
wenn man nicht zusätzlich die eigentlichen Klartextpasswörter speichert.

Gruß,
Mathias



Mehr Informationen über die Mailingliste Postfixbuch-users