SASL- und IMAP-Authentifizierungsmechanismen von Dovecot/Postfix

[Thomas Preißler]

  Hallo Pascal,


>>> On Jan 8, 2015, at 3:36 PM, Pascal Volk <user+postfix-users-de at localhost.localdomain.org> wrote:
>>> 
>>> 
>>> Wo steht bitte geschrieben, dass bei Verwendung von CRAM-MD5 das
>>> Passwort im Klartext gespeichert werden muss? Diese Aussage ist schlicht
>>> falsch.
>>> 
>>> 
>>> 
>> 
>> 
>> [...] Einzige Einschränkung ist, dass dieser Hash nur für CRAM-MD5 logins genutzt werden kann.
>> 
>> 
>> 
> 
> 
> Nein, auch falsch.
> 
> 
> Speicher einen CRAM-MD5 Hash in der passdb. Und Du kannst PLAIN, LOGIN
> und CRAM-MD5 zum Anmelden verwenden. Überzeuge Dich bitte selber davon.
> 



Diese Aussage ist etwas aus dem Kontext gerissen. Was ich meine: Sollte der HMAC-MD5 abhanden kommen, kann dieser von einem Angreifer genutzt werden, um sich damit per CRAM-MD5 anzumelden, nicht jedoch per PLAIN oder LOGIN. Bei CRAM-MD5 ist der HMAC-MD5 genau so viel Wert wie das Passwort. Einziger Vorteil gegenüber einem Passwort im Klartext ist, dass der HMAC-MD5 nicht für ein Webinterface o.ä. genutzt werden kann.
Selbstverständlich kann ein Client trotzdem PLAIN und LOGIN nutzen. Der Server erzeugt aus dem Passwort dann einfach wieder ein HMAC-MD5 und vergleicht das mit dem gespeicherten Wert, genau wie wenn SSHA512 o.ä. zum Einsatz kommt.


Viele Grüße
Thomas

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://de.postfix.org/pipermail/postfix-users/attachments/20150108/560d8466/attachment.html>