« Warum ich nicht auf Google+ zu finden bin | Main | Anleitung: Google Konto vollständig löschen »

PLESK speichert unverschlüsselte Paswörter?

Das ist ein Scherz, oder? Ich habe gerade bei einem PLESK 8.6 gerade die Funktion "Passwort vergessen bemüht und bekomme dann folgende E-Mail:

Password for access to system

Your login name for accessing the system: ****.com
Your password is ****8443

Dabei weiß doch jeder(?) Programmieranfänger, dass man auf gar keinen Fall unverschlüsselte Passwörter speichert. Ich hatte ja schon immer was gegen PLESK ohne genau zu wissen warum. Nun habe ich einen handfesten Grund. (Selbst wenn man es abschalten kann: So etwas sollte eine Software nie anbieten!) Und einen Grund mehr, die Domain von dem Webhoster weg zu migrieren.

Tags: sicherheit webhosting plesk

Geschrieben von Jan Theofel am 27.07.2011 um 0:23 Uhr (Permalink)
Abgelegt unter Internet

TrackBacks für »PLESK speichert unverschlüsselte Paswörter?«

TrackBack URL: http://www.theofel.de/mt-cgi/mt-tb.cgi/6351

2 Kommentare zu »PLESK speichert unverschlüsselte Paswörter?«

Plesk unterstützt seit der Version 10.2 eine Verschlüsselung des Adminpassworts. Aber auch hier kommt man wieder an das Passwort, da es eben nur verschlüsselt ist und man es wieder mittels /usr/local/psa/bin/admin --show-password entschlüsseln lassen kann.

Für Passwörter verwendet man daher in der Regel Hashes (http://de.wikipedia.org/wiki/Kryptologische_Hashfunktion), am besten mit Salt (http://de.wikipedia.org/wiki/Salt_(Kryptologie)

1 | Malte Köhrer | 29.07.2011 um 22:49

Man verwendet das "in der Regel"? Ich würde sagen man muss es immer(!) verwenden. Es gibt für mich nicht einen einzigen logischen Grund, warum PLESK Passwörter im Klartext abspeichern sollte...

2 | Jan Theofel | 30.07.2011 um 1:41

Schreib bitte Deine Meinung:

Kommentare werden moderiert und erscheinen daher ggf. zeitverzögert. Bitte nur themenbezogene Kommentare abgeben die sich auf diesen Eintrag beziehen.

ACHTUNG: Es gilt meine Anti-SPAM-Policy! Werbende Kommentare und SEO-Linkspam werden nicht freigeschaltet. Statt dessen sende ich eine Beschwerde an den Profiteur der Werbung.
Bei persönlichen Meinungen bitte keine Links zu kommerziellen Projekten sonder zu eurer privaten Seite.