passwort vergessen funktion für Mailuser

  • gibt es das ?

    bisher konnte ich bei der alten Verwaltungssoftware zumindest für die Mailuser die KEINE eigene Domain haben eben schnell für das neue Handy ihr Passwort auslesen und mitteilen (ISPCP angepasst)

    was manch ein User gerne gesehen hat, denn passwort vergessen ohne möglichkeit auszulesen heist immer mehrere Geräte (besonders de an die man gerade nicht denkt) mit den neuen Passwörten werden (der Supportaufwand ist wesentlich höher)


    I-MSCP verschlüsselte PW, nix mal schnell mitteilen


    da PW in der Regel cleartext im SSL/TLS tunnel ankommen müssen die auch für die Datenbankabfrage verschlüsselt werden, zusätzlicher Aufwand, wird server gehackt ist das dann auch egal ob Passwörer verschlüsselt oder nicht

    gehackte Datenbanken ziehen weitaus größere Probleme nach sich und es hilft nichts in einem solchen Fall müssen Ohne Ausnahme immer alles NEUE Passswörter gesetzt werden.

    und wenn derjenige der bei mir hostet kei Vertrauen zu jemanden hat der nur den SSH-Key für den Zugang zu ALLEN informationen auf den Maschinen hat der wird auch nicht bei mir hosten ob die Passwörter nun verschlüsselt sind oder nicht

    schade das es keine schalter gibt um zumindest das verschlüsseln für Dovecot und Postfix abzzuschalten die setze ich selber auf und configuriere die auch auf einer getrennten Maschine alleine :-)

  • Sokoban


    All passwords are now hashed and that will not change. This security measure has been discussed several time and this was a request of our the community. If a password is lost, the customer need to change it through the control panel.


    i-MSCP is an hosting control panel where each customer should have access to its UI. If you're selling or giving mail accounts by providing your customers/users with credentials only, it is up to you to provide a little interface allowing those customers/users to recover their passwords. That shouldn't be hard to implement.


    Please, read the errata files. Those change were documented. For IMAP/POP/SMTP services, users now need to use TLS.


    See also: https://github.com/i-MSCP/imsc…rata.md#passwords-storage

    badge.php?id=1239063037&bid=2518&key=1747635596&format=png&z=547451206

  • Nuxwin

    Added the Label question (answered)
  • yes each domain customes has its own password and access

    but as ISP i have a lot of user that has on MY DOMAIN a mailaccount

    there i should give all access ??

    if i generate a new i know it always there is no more security


    i ask for a switch and if you don't have it then must i hack database and code

    who cares

    and no i dont want hasht password there is not more security


    mailserver is extra maschine with Postfix and Dovecot and so on without Sasl :-)


    in the code i think i find what i search :-)

    exec_query('UPDATE mail_users SET mailpass_clear = mail_pass, mail_pass = ? WHERE mail_id = ?', [

    Crypt::sha512($row['mail_pass']), $row['mail_id']


    i must test it but i think this is the way for me

  • i ask for a switch and if you don't have it then must i hack database and code

    who cares

    and no i dont want hasht password there is not more security

    You're saying that having PLAIN passwords in database provide same security level than having them hashed? I don't known from which world you come but you should stop the beer :P


    No switch will be provided.


    BTW: There is no mailpass_clear field in the database. Bear in mind that if you change default database schema, no support will be provided.


    Thread closed.

    badge.php?id=1239063037&bid=2518&key=1747635596&format=png&z=547451206

  • Nuxwin

    Closed the thread.