APOP (акроним на "Authenticated Post Office Protocol") е разширение на Post Office Protocol (POP), определен в RFC 1939, с който паролата се изпраща в криптирана форма.
Също известен като: Протокол за автентифициран пощенски офис
Как се сравнява APOP с POP?
При стандартния POP, потребителските имена и паролите се изпращат в обикновен текст по мрежата и могат да бъдат задържани от злонамерена трета страна. APOP използва споделена тайна - паролата - която никога не се обменя директно, а само в криптирана форма, получена от низ, уникален за всеки вход.
Как работи APOP?
Този уникален низ е обикновено временен маркер, изпратен от сървъра, когато програмата за електронна поща на потребителя се свърже. Както сървърът, така и програмата за електронна поща изчисляват хеширана версия на клеймото и паролата, програмата за електронна поща изпраща своя резултат до сървъра, който удостоверява влизането в хеш, съответстващо на неговия резултат.
Как е сигурна APOP?
Докато APOP е по-сигурен от обикновеното удостоверяване на POP, той страда от редица проблеми, които правят използването му проблематично:
- И двата сървъра за електронна поща и програмата за електронна поща трябва да използват (и може би да съхраняват) паролата за имейл акаунт в обикновен текст; това предлага потенциално директен маршрут за извличане на паролата.
- Алгоритъмът за изчисляване на кодираната форма на паролата, MD5, е датиран и вече не се счита за защитен. За APOP това не означава, че понастоящем е лесно да се пробият пароли само от криптирана форма, но това все пак изисква предпазливост.
- проблематично е, че паролата се изпраща многократно, макар и в криптирана форма; което позволява повече пространство за атака.
Трябва ли да използвам APOP?
Не, избегнете APOP удостоверяване, когато е възможно.
По-сигурни методи за влизане в имейл акаунт за POP съществуват. Използвайте тези вместо това:
- TLS / SSL: целият трафик между програмата за електронна поща и сървъра е шифрован; който включва всяко потребителско име и парола, както и самите имейли.
- AUTH CRAM-MD5: подобно на APOP, честотата на POP AUTH, използваща удостоверяване с CRAM-MD5, може да бъде по-сигурна, тъй като паролата не се съхранява в процеса; TLS / SSL е по-добра.
Ако имате възможност да избирате само между обикновена POP удостоверяване и APOP, използвайте APOP за по-сигурен процес на влизане.
Пример APOP
Сървър: + OK POP3 сървър на вашата команда <[email protected]>
Клиент: APOP потребител 2014ee2adf2de85f5184a941a50918e3
Сървър: + ОК потребител има 3 съобщения (853 октета)
