APOP (аббревиатура «Протокол аутентифицированного почтового отделения») является расширением протокола почтового отделения (POP), определенного в RFC 1939, с которого пароль отправляется в зашифрованном виде.
Также известен как: Протокол почтового отделения с проверкой подлинности
Как APOP сравнивается с POP?
Со стандартным POP имена пользователей и пароли отправляются в виде обычного текста по сети и могут быть перехвачены злонамеренной третьей стороной. APOP использует общий секрет - пароль, который никогда не обменивается напрямую, а только в зашифрованной форме, полученной из строки, уникальной для каждого процесса входа в систему.
Как работает APOP?
Эта уникальная строка обычно представляет собой временную метку, отправленную сервером при подключении почтовой программы пользователя. И сервер, и программа электронной почты затем вычисляют хешированную версию отметки времени плюс пароль, программа электронной почты отправляет свой результат на сервер, который аутентифицирует вход в хэш, соответствует его результату.
Насколько безопасно APOP?
Хотя APOP более безопасен, чем обычная аутентификация POP, он страдает от ряда проблем, которые делают его использование проблематичным:
- Как сервер электронной почты, так и программа электронной почты должны использовать (и, возможно, хранить) пароль учетной записи электронной почты в виде обычного текста; это дает потенциально прямой путь к поиску пароля.
- Алгоритм вычисления зашифрованной формы пароля MD5 датируется и более не считается безопасным. Для APOP это не означает, что в настоящее время легко можно взломать пароли только из зашифрованной формы, но это по-прежнему требует осторожности.
- проблематично, что пароль отправляется повторно, хотя и в зашифрованном виде; что позволяет больше места для атаки.
Должен ли я использовать APOP?
Нет, избегайте аутентификации APOP, когда это возможно.
Более безопасные способы входа в учетную запись электронной почты POP существуют. Используйте их вместо этого:
- TLS / SSL: весь трафик между почтовой программой и сервером зашифрован; который включает любое имя пользователя и пароль, а также электронные письма.
- AUTH CRAM-MD5: аналогично APOP, общий протокол POP AUTH с использованием аутентификации CRAM-MD5 может быть более безопасным, поскольку пароль не сохраняется в процессе; TLS / SSL превосходит.
Если у вас есть выбор только между простой аутентификацией POP и APOP, используйте APOP для более безопасного процесса входа в систему.
Пример APOP
Сервер: + OK POP3-сервер по вашей команде <[email protected]>
Клиент: пользователь APOP 2014ee2adf2de85f5184a941a50918e3
Сервер: + OK пользователь имеет 3 сообщения (853 октета)
