[Postfixbuch-users] Passwörter in Dovecot

Mathias Jeschke postfixbuch-users at gmj.cjb.net
Mo Okt 11 22:45:46 CEST 2010


Am 11.10.10 21:57, schrieb Peer Heinlein:

>> Meiner Meinung nach sind diese Hashes ("Klartextpasswörter") sogar
>>  besser als die eigentlichen Passwörter (also das, was der Nutzer in
>>  seinen MUA eingibt).

> Genau das halte ich jedoch für einen Irrtum und falsch.

Ich nicht.

>> Sollte doch mal die Kiste unvertrauenswürdig werden (Trojaner,
>>  Root-Exploit, ...) hat der Angreifer eben nicht die Passwörter im
> 
> ... dann kommt derjenige auch sonst sofort in den meisten Fällen an die 
> Klartextpasswörter ran, er muß beispielsweise nur kurz CRAM abschalten 
> und PLAIN/LOGIn mitsniffen und bei etwaigen Klartextlogin-Methoden 
> (Webmailer) kommt er sowieso leicht ran.

Das setzt aber voraus, dass sich innerhalb der Zeit, wo das System
kompromitiert ist, sich entsprechend viele Nutzer einloggen.

Ich habe z.B. auch Accounts auf Systemen, die nicht primär zum Mailing
genutzt werden. Meine Mails erhalte ich per Forward an meinen Mailserver,
ergo ist dort kein Login nötig.
Sicherlich ist mein Passwort dann bei anderen Diensten dort "sniffbar",
sofern ich mich mal einlogge.
(Mein Passwort hätte der Angreifer in jedem Fall, wenn er es schafft,
 sich einen DB-Dump zu ziehen.)

Ich weiß, ich bin die Ausnahme und die meisten Nutzer loggen sich
selbstverständlich via Webmail/IMAP/POP auf dem Mailserver ein.


>> Das Problem der "Aufwärtskompatibilität" hat man dann leider wieder,
>> wenn man nicht zusätzlich die eigentlichen Klartextpasswörter
>>  speichert.

> Eben. 

> Also gleich Klartext und dann sensibel damit umgegangen statt in 
> falscher vermeindlicher Sicherheit sich selbst belogen.

<spekulation>
Und genau das, wird von vielen in der Praxis bestimmt nicht gemacht -
da liegen die Klartextpasswörter dann neben den HMAC-Hashes
in einer SQL-DB, die lokal auf dem Mailserver liegt.
</spekulation>

Schade dass PKIs immer noch auf ihren Durchbruch im Massenmarkt
(inkl. mangelnder Unterstützung in vielen Softwareprodukten) warten.

Gruß,
Mathias



Mehr Informationen über die Mailingliste Postfixbuch-users