APOP (acronimul "Protocol autentificat post office") este o extensie a Protocolului Post Office (POP) definit în RFC 1939 cu care parola este trimisă în formă criptată.
De asemenea cunoscut ca si: Protocolul autentificat pentru Post Office
Cum se compară APOP cu POP?
Cu standardul POP, numele de utilizator și parolele sunt trimise în text simplu prin rețea și pot fi interceptate de o terță parte rău intenționată. APOP utilizează un secret partajat - parola - care nu este niciodată schimbată direct, ci numai într-o formă criptată derivată dintr-un șir unic pentru fiecare proces de conectare.
Cum functioneaza APOP?
Șirul unic este, de obicei, un marcaj de timp trimis de server atunci când programul de e-mail al utilizatorului se conectează. Atât serverul, cât și programul de e-mail compun o versiune ruptă a timestamp plus parola, programul de e-mail trimite rezultatul la server, care autentifică log-ul de hash se potrivește cu rezultatul său.
Cât de sigur este APOP?
În timp ce APOP este mai sigur decât autentificarea simplu POP, acesta suferă de o serie de probleme care fac utilizarea sa problematică:
- Atât serverul de e-mail, cât și programul de e-mail trebuie să folosească (și, probabil, să stocheze) parola contului de e-mail în text simplu; aceasta oferă o cale potențial directă pentru extragerea parolei.
- Algoritmul de calcul al formei criptate a parolei MD5 este datat și nu mai este considerat sigur. Pentru APOP, aceasta nu înseamnă că în prezent este ușor să creezi parole doar din forma lor criptată, dar aceasta trebuie să aibă în continuare prudență.
- este problematică faptul că parola este trimisă în mod repetat, deși în formă criptată; care permite mai mult spațiu pentru a ataca.
Ar trebui să folosesc APOP?
Nu, evitați autentificarea APOP atunci când este posibil.
Sunt mai sigure metode pentru conectarea la un cont de e-mail POP. Utilizați în schimb aceste:
- TLS / SSL: tot traficul dintre programul de e-mail și server este criptat; care include orice nume de utilizator și o parolă, precum și e-mailuri.
- AUTH CRAM-MD5: similar cu APOP, POP AUTH comun utilizând autentificarea CRAM-MD5 poate fi mai sigur deoarece parola nu este stocată în proces; TLS / SSL este superior.
Dacă aveți posibilitatea de a alege doar între autentificare simplu POP și APOP, utilizați APOP pentru un proces mai sigur de conectare.
APOP Exemplu
Server: + OK POP3 server la comanda <[email protected]>
Client: APOP utilizator 2014ee2adf2de85f5184a941a50918e3
Server: + Utilizatorul OK are 3 mesaje (853 octeți)
