SASL- und IMAP-Authentifizierungsmechanismen von Dovecot/Postfix
Thomas Preißler
thomas at preissler.me
Do Jan 8 16:22:33 CET 2015
Hallo Pascal,
> On Jan 8, 2015, at 3:36 PM, Pascal Volk <user+postfix-users-de at localhost.localdomain.org> wrote:
>
>
> On 01/08/2015 01:46 PM, Thomas Preißler wrote:
>
>
>>> in Dovecot unter „auth_mechanisms“ angeben
>>>
>>>
>>>
>>
>>
>> Bei CRAM-MD5 muss dagegen das Kennwort im Klartext auf dem Server gespeichert werden.
>>
>>
>>
>
>
> Wo steht bitte geschrieben, dass bei Verwendung von CRAM-MD5 das
> Passwort im Klartext gespeichert werden muss? Diese Aussage ist schlicht
> falsch.
>
Bei CRAM-MD5 wird ein sog. HMAC-MD5-Hash des Passworts berechnet und von Server und Client auf die Challenge angewendet. Dovecot speichert dann einfach nur den HMAC-MD5-Hash. Dies bringt aber so gut wie keinen Vorteil, da dieser Hash von einem Angreifer genutzt werden kann um sich bei einem Server zu authentifizieren, so als ob er das Passwort hätte. Einzige Einschränkung ist, dass dieser Hash nur für CRAM-MD5 logins genutzt werden kann.
Peer Heinlein erläutert das in seinem Dovecot-Buch auf Seiten 93-97 recht ausführlich
Viele Grüße
Thomas
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://de.postfix.org/pipermail/postfix-users/attachments/20150108/48f1547a/attachment-0001.html>
Mehr Informationen über die Mailingliste postfix-users