Hallo, Christian,

Ich glaube kaum, dass jemand, der nicht der "echte" dave ist, mit den letzten drei Zeichen eines 7-Zeichen-Passworts anfangen kann. Oder?

Das wohl weniger. Aber wie Sven schon gesagt hat: Das Passwort ist einwegverschlüsselt ("und das ist auch gut so"[tm])

Ähm... das Passwort wird mitunter unverschlüsselt quer über den halben Globus gesendet, wo ist bitte der Unterschied zwischen einer Falltürverschlüsselung und einer unverschlüsselten Speicherung...?

Im Grunde genommen hat es nichts mit Sicherheit zu tun, denn die Wahrscheinlichkeit, dass an einer beliebigen Stelle ein Paket geloggt wird ist sicherlich größer, als dass jemand den Selfserver knackt (trotz den Löcher, welche womöglich noch im sshd schlummern ;)).

Was sollte der Cracker mit den Passwörter? Wenn er sie lesen kann, kann er auch alle damit zusammenhängenden Daten lesen, er braucht die Passwörter noch nicht einmal, ob gehasht oder nicht, sie stellen keine Barriere da, und bis auf die White- und Blacklist gibt es zudem keine privaten Daten (wenn überhaupt).

Kurz gesagt: die Verschlüsselung ist Rechenzeitverschwendung. ;) Mir fällt kein Fall ein, für welchen sie die Sicherheit erhöhen würden. (Man mag mich belehren.)

Grüße,
Mathias