APOP (zkratka "Authenticated Post Office Protocol") je rozšíření Post Office Protocol (POP) definované v RFC 1939, se kterým je heslo odesláno v šifrované podobě.
Také známý jako: ověřený poštovní protokol
Jak se porovnává APOP s POP?
Se standardním protokolem POP se uživatelská jména a hesla vysílají v obyčejném textu přes síť a mohou být zachycena škodlivou třetí stranou. APOP používá sdílené tajemství - heslo - které se nikdy nevymění přímo, ale pouze v šifrované podobě odvozené z řetězce, který je jedinečný pro každý přihlašovací proces.
Jak funguje APOP?
Tento jedinečný řetězec je obvykle časové razítko odeslané serverem při připojení e-mailového programu uživatele. Jak server, tak e-mailový program pak vypočítají šarvátkovou verzi časového razítka plus heslo, e-mailový program pošle svůj výsledek na server, který ověřuje přihlašování hash, který odpovídá jeho výsledku.
Jak je zabezpečení APOP?
Zatímco APOP je bezpečnější než obyčejná autentizace POP, trpí mnoha problémy, které činí jeho použití problematické:
- E-mailový server i e-mailový program musí používat (a možná ukládat) heslo e-mailového účtu v prostém textu; to nabízí potenciálně přímou cestu k získání hesla.
- Algoritmus pro výpočet šifrované formy hesla MD5 je datován a již není považován za bezpečný. Pro APOP to neznamená, že v současné době je možné snadno splétnout hesla pouze ze šifrované podoby, ale stále to vyžaduje opatrnost.
- je problematické, že heslo je opakovaně odesláno, i když v šifrované podobě; což umožňuje více prostoru k útoku.
Mám použít APOP?
Ne, vyhnout se autentizaci APOP, pokud je to možné.
Existují bezpečnější metody pro přihlášení k e-mailovému účtu POP. Použijte místo toho:
- TLS / SSL: veškerá komunikace mezi e-mailovým programem a serverem je šifrována; včetně jakéhokoli uživatelského jména a hesla, jakož i samotných e-mailů.
- AUTO CRAM-MD5: podobně jako APOP, POP AUTH společné pomocí ověřování CRAM-MD5 může být bezpečnější, protože heslo není uloženo v procesu; TLS / SSL je lepší.
Pokud máte možnost volby pouze mezi obyčejnou autentizací POP a APOP, použijte APOP pro bezpečnější přihlašovací proces.