Jump to content
Froxlor Forum
  • 0

Mailkonten: Passw?rter nur 8 Zeichen?


flo2

Question

Mir ist aufgefallen, dass beim IMAP-Login (Dovecot) nur die ersten 8 Zeichen des Passworts beachtet werden. Wenn mein Passwort l?nger ist als 8 Zeichen und ich gebe nur die ersten 8 ein, funktioniert der Login trotzdem. Ist eine frische Froxlor-Installation, konnte das Problem jedoch auch bei einer alten SysCP-Installation (1.2.19) mit Courier als IMAP-Daemon reproduzieren.

Link to comment
Share on other sites

11 answers to this question

Recommended Posts

Dieses Problem ist immer noch nicht behoben und ich empfinde es als ein Sicherheitsrisiko nur bis zu 8 Zeichen Passw?rter unterst?tzen zu k?nnen. Welchen Workaround oder Patch gibt es um das 8 Zeichenlimit zu beheben. Passw?rter werden bei mir nur Hashed also nicht Plain gespeichert!

Link to comment
Share on other sites

Traditional UNIX system passwords are eight characters, or less. Excess characters are ignored.

 

Newer password mechanisms, such as MD5-hashes passwords in Linux, support longer passwords.

 

Standard UNIX crypt() encrypts no more than 8 characters, so passwords are limited to 8 characters.

 

Soviel konnte ich bisher herausfinden, es liegt nur bedingt an Froxlor und ist teilweise auch System-abh?ngig (welche crypt-Methode genutzt wird).

 

Welche Linux-Distribution setzt du ein? Name, Version, etc. w?ren hilfreich um evtl. weitere Informationen zu finden.

 

d00p

Link to comment
Share on other sites

Debian Lenny 64bit. Ich habe mal in der mail_users Tabelle nachgeschaut, das Passwort scheint tats?chlich per crypt() mit Standard DES gehasht zu sein. Braucht Dovecot das so, oder k?nnte man das nicht auch auf MD5 oder Blowfish umstellen? SASL greift ja sowieso auf der Klartext-Passwort zur?ck, soweit ich wei?.

Link to comment
Share on other sites

hab dazu was gefunden:

 

Crypt authentication supports a maximum password length of only eight bytes (eight ASCII characters). If a longer password is entered in a user account, only the first eight bytes are used for crypt password validation. Shadow passwords and Open Directory passwords are not subject to this length limit.

 

gefunden auf: http://docs.info.apple.com/article.html?path=ServerAdmin/10.4/en/c3od6.html

 

das scheint an sich ein problem von crypt() zu sein.

Link to comment
Share on other sites

probier mal mit in der dovecot-config:

 

default_pass_scheme = PLAIN-MD5

 

jedoch musst du dann noch den insert befehl von froxlor anpassen. es gibt noch crypt-md5. jedoch hab ich da mysql-seitig keine infos gefunden.

 

Fall Du Erfolg hast, bitte mitteilen, ;-)

Link to comment
Share on other sites

Hab jetzt auf default_pass_scheme = PLAIN umgestellt und das Query entsprechend angepasst, das funktioniert bestens. Die Plaintext-Passw?rter sind in der DB ja sowieso vorhanden, was nat?rlich allgemein betrachtet nicht so toll ist. Aber dank SASL f?hrt da wohl auch kein Weg dran vorbei?

Link to comment
Share on other sites

Es gibt einen Weg SASL mit verschl?sselten Passw?rtern zu benutzen. Lass dich nicht vom "sarge only" Hinweis abschrecken, unter Beachtung der entsprechenden Hinweise auf selbiger Seite funktioniert dieses Setup bei mir schon seit geraumer Zeit, auch mit lenny. :)

Meiner Meinung nach sollte dieses Setup auch der Standard sein, plain text Passw?rter in der Datenbank sind nicht wirklich klasse. <_<

Link to comment
Share on other sites

Verschl?sselte Passw?rter lassen sich auch problemlos mit Dovecot SASL benutzen.

Zu den Passw?rtern. PLAIN-MD5 Passw?rter sind auch nicht besonders sicher da hier kein "salt" verwendet wird.

Ich verwende daher salted SHA1 oder MD5-CRYPT man muss Froxlor daf?r aber um eine kleine Funktion erweitern.

 

Bye

Rene

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...