11. November 2014 11:53 by mati

Wir werden am 15. November DIGEST-MD5 für alle unsere Domains deaktivieren.DIGEST-MD5 ist ein alter unsicherer Mechanismus um Passwörter zu überprüfen und der Grund, warum wir Passwörter im Klartext speichern müssen. Da wir nicht wissen, ob bzw. wie viele BenutzerInnen mit diesem Schritt sich nicht mehr verbinden können, kontaktiere uns bitte, falls du ab dem 15. November irgendwelche Probleme mit unserem Service hast. Wir betrachten dies als Test und werden DIGEST-MD5 eventuell wieder aktivieren, wenn es zu viele Probleme gibt. Technischer Hintergrund: DIGEST-MD5 ist die SASL-Variante, die ursprünglich für Jabber vorgesehen war und benötigt sowohl am Server als auch am Client das Passwort im Klartext. SCRAM-SHA1 ist viel sicherer und würde uns erlauben, die Passwörter nur als Hash zu speichern. Nachdem dieser Schritt aber per Definition unumkehrbar ist, wollen wir nicht darauf umstellen, ohne zu wissen, wie viele BenutzerInnen davon betroffen sind. Durch das deaktivieren von DIGEST-MD5 bieten wir genau jene Authentifizierungs-Mechanismen an, die wir mit gehashten Passwörtern auch anbieten könnten. Sollten dann keine Probleme auftreten, können wir endlich gehashte Passwörter speichern.