Passwörter nicht verschlüsselt?

gweilo · 24. Sep 2012

Hallo,

ich habe als Admin soeben das Passwort eines Users geändert. Danach erhält der User eine Mail mit der Mitteilung, dass das Passwort geändert wurde, inkl. des Klartext-Passworts! Es ist extrem unsicher, Klartext-Passwörter zu versenden. Daher zwei Fragen:
a) Wo kann ich den Versand des Klartext-Passworts abstellen?
b) Werden Passwörter der Diskstation generell nicht verschlüssel (z.B. MDA5) abgelegt, sondern im Klartext?

Es wäre klasse, wenn mir jemand die Fragen beantworten könnte.

Danke
Gweilo

Anzeige · 24. Sep 2012

Hallo gweilo,

Bücher und Hardware zum Thema gibt es bei Amazon: Passwörter nicht verschlüsselt?

maDDin_1338 · 24. Sep 2012

naja. ist auslegungssache..

wenn jemand mein passwort ändert, woher soll ich dann wissen wie mein neues passwort lautet..?

zu b kann ich dir leider nichts weiter sagen.

rauppe31 · 24. Sep 2012

Zu b)
Ich glaube, diese werden verschlüsselt in der mySQL-Datenbank abgelegt.

gweilo · 30. Sep 2012

Danke für die Antworten. @maDDin_1338: Best practice ist, dass kein Klartextpasswort existiert. Vielmehr sollte der Admin dann einfach das Passwort zurücksetzen und der User erhält einen Link, wo er ein neues Passwort eingeben kann...

Ap0phis · 30. Sep 2012

Das kann der User, wenn er sich ins DSM einloggt.
Evtl. besser erst gar keine Mail senden, oder die Benachrichtigung dahingehend erweitern, dass der User sein Passwort selber ändern muß!?

joku · 01. Okt 2012

Hallo Gweilo

gweilo schrieb:
a) Wo kann ich den Versand des Klartext-Passworts abstellen?

Als admin im DSM Sytemsteuerung / Benutzer
Benutzer erstellen oder bearbeiten
[ ] Eine Benachrichtigung an den neu erstellten Benutzer senden

gweilo schrieb:
b) Werden Passwörter der Diskstation generell nicht verschlüssel (z.B. MDA5) abgelegt, sondern im Klartext

Sie werden verschlüsselt !
/etc/shadow

Gruß Jo

DokMorris · 08. Nov 2012

Ap0phis schrieb:
Das kann der User, wenn er sich ins DSM einloggt.
Evtl. besser erst gar keine Mail senden, oder die Benachrichtigung dahingehend erweitern, dass der User sein Passwort selber ändern muß!?

Wie lässt sich die mail erweitern? lassen sich die Links in so weit ändern, dass nicht http sondern https und port 5001 anstatt 5000 in der mail als adresse angegeben werden?
LG

itari · 08. Nov 2012

joku schrieb:
Sie werden verschlüsselt !
/etc/shadow

gibt es nicht auch noch eine Password-Datei für SMB (und indirekt für den smbftpd usw.) im Verzeichnis /usr/syno/etc/private namens smbpasswd ??? Oder stammt die Datei von einem meiner Versuche?

Itari