Hallo Pascal,
>>> On Jan 8, 2015, at 3:36 PM, Pascal Volk >>> <[email protected]> wrote: >>> >>> >>> Wo steht bitte geschrieben, dass bei Verwendung von CRAM-MD5 das >>> Passwort im Klartext gespeichert werden muss? Diese Aussage ist schlicht >>> falsch. >>> >>> >>> >> >> >> [...] Einzige Einschränkung ist, dass dieser Hash nur für CRAM-MD5 logins >> genutzt werden kann. >> >> >> > > > Nein, auch falsch. > > > Speicher einen CRAM-MD5 Hash in der passdb. Und Du kannst PLAIN, LOGIN > und CRAM-MD5 zum Anmelden verwenden. Überzeuge Dich bitte selber davon. > Diese Aussage ist etwas aus dem Kontext gerissen. Was ich meine: Sollte der HMAC-MD5 abhanden kommen, kann dieser von einem Angreifer genutzt werden, um sich damit per CRAM-MD5 anzumelden, nicht jedoch per PLAIN oder LOGIN. Bei CRAM-MD5 ist der HMAC-MD5 genau so viel Wert wie das Passwort. Einziger Vorteil gegenüber einem Passwort im Klartext ist, dass der HMAC-MD5 nicht für ein Webinterface o.ä. genutzt werden kann. Selbstverständlich kann ein Client trotzdem PLAIN und LOGIN nutzen. Der Server erzeugt aus dem Passwort dann einfach wieder ein HMAC-MD5 und vergleicht das mit dem gespeicherten Wert, genau wie wenn SSHA512 o.ä. zum Einsatz kommt. Viele Grüße Thomas
