Lieber Kay,

Wenn man CRAM-Verfahren wie CRAM-MD5, CRAM-SHA1, CRAM-SHA256 oder APOP einsetzt, dann gehören die Passworte im Klartext gespeichert.

warum aber schreibt Wikipedia hierzu "oder bei falscher Implementierung das Passwort im Klartext"? Mir ist noch nicht klar wie ich einen Hashwert mit "ipad/opad" erstelle, um dann damit ein Digest zu verifizieren, aber dass ich das Passwort jeweils im Klartext benötige, scheint laut Wikipedia keinesfalls die einzig richtige Lösung zu sein.

Ich bin gerade sehr eingespannt, ob es Programme oder Implementierungen gibt, die Passwörter als Hash speichern und CRAM-Verfahren anbieten, keine Ahnung.

Hier Zwei Links, die dir vielleicht weiter helfen.

Link 1

Link 2