PLESK speichert unverschlüsselte Paswörter?
Das ist ein Scherz, oder? Ich habe gerade bei einem PLESK 8.6 gerade die Funktion "Passwort vergessen bemüht und bekomme dann folgende E-Mail:
Password for access to system
Your login name for accessing the system: ****.com
Your password is ****8443
Dabei weiß doch jeder(?) Programmieranfänger, dass man auf gar keinen Fall unverschlüsselte Passwörter speichert. Ich hatte ja schon immer was gegen PLESK ohne genau zu wissen warum. Nun habe ich einen handfesten Grund. (Selbst wenn man es abschalten kann: So etwas sollte eine Software nie anbieten!) Und einen Grund mehr, die Domain von dem Webhoster weg zu migrieren.
Geschrieben von Jan Theofel am 27.07.2011 um 0:23 Uhr (Permalink)
Abgelegt unter Internet
Plesk unterstützt seit der Version 10.2 eine Verschlüsselung des Adminpassworts. Aber auch hier kommt man wieder an das Passwort, da es eben nur verschlüsselt ist und man es wieder mittels /usr/local/psa/bin/admin --show-password entschlüsseln lassen kann.
Für Passwörter verwendet man daher in der Regel Hashes (http://de.wikipedia.org/wiki/Kryptologische_Hashfunktion), am besten mit Salt (http://de.wikipedia.org/wiki/Salt_(Kryptologie)
1 | Malte Köhrer | 29.07.2011 um 22:49