Kommentare zu: Klartext-Passwörter https://archiv.rackblogger.de/2012/07/13/klartext-passworter/ We love to HOST you. :-) Mon, 15 Jun 2026 13:01:14 +0000 http://wordpress.org/?v=2.0.9 Von: Marc 'Zugschlus' Haber https://archiv.rackblogger.de/2012/07/13/klartext-passworter/#comment-48405 Fri, 20 Jul 2012 20:03:48 +0000 https://archiv.rackblogger.de/2012/07/13/klartext-passworter/#comment-48405 Gegen nicht gesalzene MD5-Hashes sind Rainbowtables gewachsen. Das ist leider nur ein Feigenblatt. Gegen nicht gesalzene MD5-Hashes sind Rainbowtables gewachsen. Das ist leider nur ein Feigenblatt.

]]> Von: Klaus Keppler https://archiv.rackblogger.de/2012/07/13/klartext-passworter/#comment-48394 Fri, 20 Jul 2012 11:57:51 +0000 https://archiv.rackblogger.de/2012/07/13/klartext-passworter/#comment-48394 Der Trick bei CRAM-MD5 besteht darin, auf dem Server nicht das Klartext-Passwort sondern den "vor-initialisierten" Puffer der MD5-Berechnungen zu speichern. CRAM-MD5 ist definiert als MD5((passwd XOR opad), MD5((passwd XOR ipad, payload)) Speichert man also einfach "nur" die MD5-Zustände von "passwd XOR opad" und "passwd XOR ipad" auf dem Server, dann können diese zur Berechnung des "fertigen" Hashes benutzt werden und man braucht kein Klartextpasswort. Es ist aber durchaus ein Nachteil, dass diese nicht gesalzen sind, daher sollten für CRAM-MD5 genutzte Passwörter idealerweise vorab einer Dictionary-Prüfung unterzogen werden. Der Trick bei CRAM-MD5 besteht darin, auf dem Server nicht das Klartext-Passwort sondern den “vor-initialisierten” Puffer der MD5-Berechnungen zu speichern.
CRAM-MD5 ist definiert als MD5((passwd XOR opad), MD5((passwd XOR ipad, payload))
Speichert man also einfach “nur” die MD5-Zustände von “passwd XOR opad” und “passwd XOR ipad” auf dem Server, dann können diese zur Berechnung des “fertigen” Hashes benutzt werden und man braucht kein Klartextpasswort.

Es ist aber durchaus ein Nachteil, dass diese nicht gesalzen sind, daher sollten für CRAM-MD5 genutzte Passwörter idealerweise vorab einer Dictionary-Prüfung unterzogen werden.

]]> Von: Marc 'Zugschlus' Haber https://archiv.rackblogger.de/2012/07/13/klartext-passworter/#comment-48393 Fri, 20 Jul 2012 11:45:34 +0000 https://archiv.rackblogger.de/2012/07/13/klartext-passworter/#comment-48393 Bei CRAM-MD5 muss das Passwort auf dem Server im Klartext vorliegen. Bei LOGIN und PLAIN kann es gehashed vorliegen. Will man sowohl verschlüsselte Übertragung als auch verschlüsseltes Passwort auf dem Server, bleibt nur noch PLAIN oder ein ähnliches Verfahren hinter STARTTLS. Bei CRAM-MD5 muss das Passwort auf dem Server im Klartext vorliegen. Bei LOGIN und PLAIN kann es gehashed vorliegen.

Will man sowohl verschlüsselte Übertragung als auch verschlüsseltes Passwort auf dem Server, bleibt nur noch PLAIN oder ein ähnliches Verfahren hinter STARTTLS.

]]> Von: Andreas G. https://archiv.rackblogger.de/2012/07/13/klartext-passworter/#comment-48301 Sun, 15 Jul 2012 12:34:55 +0000 https://archiv.rackblogger.de/2012/07/13/klartext-passworter/#comment-48301 Für mich stellt sich natürlich gleich mal die Frage wie gut die Untersütztung für CRAM-MD5 unter den üblichen Mailprogrammen verbreitet ist. PLAIN und LOGIN kann im Grunde selbst der älteste Mailer. Was auch noch ein Punkt ist, ist die Tatsache das MD5 Hashes ohne Salt eigentlich auch nicht mehr zeitgemäß sind. Leider kann man keine gesalzenen Hashes für CRAM-MD5 nutzen aber besser als Klartext ist es allemal, sofern die Passwörter einigermaßen sicher sind. Für mich stellt sich natürlich gleich mal die Frage wie gut die Untersütztung für CRAM-MD5 unter den üblichen Mailprogrammen verbreitet ist.
PLAIN und LOGIN kann im Grunde selbst der älteste Mailer.

Was auch noch ein Punkt ist, ist die Tatsache das MD5 Hashes ohne Salt eigentlich auch nicht mehr zeitgemäß sind. Leider kann man keine gesalzenen Hashes für CRAM-MD5 nutzen aber besser als Klartext ist es allemal, sofern die Passwörter einigermaßen sicher sind.

]]>