(Plesk für Linux) Aktivieren des Hashings von E-Mail-Passwörtern
Inhalt: Standardmäßig werden die in der Plesk-Datenbank und in Plesk-Backups gespeicherten Passwörter für E-Mail-Konten symmetrisch verschlüsselt. Dies ermöglicht es einem Angreifer, der Zugriff auf ein Abbild der Datenbank oder ein unverschlüsseltes Backup erlangt hat, auf die auf dem kompromittierten Server gehosteten E-Mail-Konten zuzugreifen.
Um dies zu verhindern, können Sie in Plesk für Linux das Hashing von Passwörtern für E-Mail-Konten aktivieren. Das Speichern von Hashes anstelle verschlüsselter Kennwörter ist wesentlich sicherer.
In diesem Thema erfahren Sie, wie Sie das Hashing von Passwörtern für E-Mail-Konten in Plesk für Linux aktivieren.
Überblick
Die symmetrische Verschlüsselung ist eine Verschlüsselungsmethode, bei der die Daten mit einem einzigen Schlüssel ver- und entschlüsselt werden. Diese Methode ist zwar effizient, gilt aber als relativ veraltet und unsicher. Wenn ein Angreifer Zugriff auf verschlüsselte Daten (z. B. ein Passwort) und den zur Verschlüsselung verwendeten Schlüssel erhält, kann er das Passwort entschlüsseln und auf das Konto zugreifen, das durch das Passwort gesichert ist.
Im Gegensatz dazu wird beim Hashing eine spezielle Hash-Funktion verwendet, um ein Datenelement (z. B. ein Klartext-Passwort) in eine alphanumerische Zeichenfolge zu verwandeln, die als Hash bezeichnet wird. Das Hashing eines Passworts führt immer zum gleichen Hash.
Beim Hashing wird das eingegebene Passwort gehasht und mit dem entsprechenden Hash in der Plesk-Datenbank verglichen. Stimmen die Hashes nicht überein, schlägt die Authentifizierung fehl. Der Vorteil dieses Ansatzes besteht darin, dass ein Angreifer durch den Zugriff auf einen Hash keinen praktischen Zugriff auf das Konto erhält.
Herausforderungen und Einschränkungen
Das Aktivieren des Hashings von E-Mail-Passwörtern bringt die folgenden Herausforderungen und Einschränkungen mit sich:
- Hashing ist ein Einwegverfahren. Vergisst der Inhaber des E-Mail-Kontos das Passwort für sein gehashtes Konto, kann das Passwort nicht wiederhergestellt, sondern nur zurückgesetzt werden.
- Derzeit unterstützt der SOGo-Webmail-Client keine Anmeldung mit einem gehashten Passwort.
Aktivieren des Hashings von E-Mail-Passwörtern
So aktivieren Sie das Hashing von E-Mail-Passwörtern:
- Melden Sie sich in Plesk an.
- Gehen Sie zu Tools & Einstellungen und klicken Sie dann auf Sicherheitsrichtlinie (unter „Sicherheit“).
- Wählen Sie unter „Passwörter für E-Mail-Konten speichern“ die Optionsschaltfläche „Hashing“ aus und klicken Sie dann auf OK.
Das Hashing von E-Mail-Passwörtern ist jetzt aktiviert. Die folgenden Änderungen treten in Kraft:
- Passwörter für neu erstellte E-Mail-Konten werden gehasht.
- Symmetrisch verschlüsselte Passwörter für bestehende E-Mail-Konten bleiben symmetrisch verschlüsselt.
- Wenn das Passwort eines symmetrisch verschlüsselten E-Mail-Kontos das nächste Mal in Plesk geändert wird, wird das neue Passwort gehasht.
Sie können zur symmetrischen Verschlüsselung von E-Mail-Passwörtern zurückkehren, indem Sie die oben beschriebenen Schritte ausführen und im letzten Schritt das Optionsfeld „Symmetrische Verschlüsselung“ auswählen. In diesem Fall werden Passwörter für neu erstellte E-Mail-Konten symmetrisch verschlüsselt, gehashte Passwörter für bestehende E-Mail-Konten bleiben gehasht. Wenn Sie das nächste Mal ein gehashtes Passwort für ein E-Mail-Konto in Plesk ändern, wird das neue Passwort symmetrisch verschlüsselt.