Lieber Kay,

Wenn man CRAM-Verfahren wie CRAM-MD5, CRAM-SHA1, CRAM-SHA256 oder APOP einsetzt, dann gehören die Passworte im Klartext gespeichert.

warum aber schreibt Wikipedia hierzu "oder bei falscher Implementierung das Passwort im Klartext"? Mir ist noch nicht klar wie ich einen Hashwert mit "ipad/opad" erstelle, um dann damit ein Digest zu verifizieren, aber dass ich das Passwort jeweils im Klartext benötige, scheint laut Wikipedia keinesfalls die einzig richtige Lösung zu sein.

PLAIN und LOGIN sollten nicht ohne SSL/TLS verwendet werden.

Es gibt keinen Login-Prozess. Es gibt einen HTTP-Request, der als Response einen verschlüsselten String erzeugt. Dieser String ist mit einer Passphrase veschlüsselt, die der Client kennt, um damit den Datenstrom wieder zu entschlüsseln.

Hab ich jetzt die Klarheit beseitigt?

Nö, leider nicht.

Liebe Grüße,

Felix Riesterer.