APOP (lyhenne "Authenticated Post Office Protocol") on RFC 1939: ssa määritelty Post Office Protocol (POP) -laajennus, jolla salasana lähetetään salatussa muodossa.
Tunnetaan myös nimellä: Authenticated Post Office Protocol
Miten APOP vertaillaan POP: ään?
Tavallisella POP-palvelimella käyttäjätunnukset ja salasanat lähetetään tekstinä verkossa, ja haitallinen kolmas osapuoli voi siepata sen. APOP käyttää yhteistä salaisuutta - salasanaa - jota ei koskaan vaihdeta suoraan vaan ainoastaan salattuun muotoon, joka on johdettu jokaisesta kirjautumisprosessista yksilöivästä merkkijonosta.
Miten APOP toimii?
Tämä ainutlaatuinen merkkijono on yleensä palvelimen lähettämä aikaleima, kun käyttäjän sähköpostiohjelma muodostaa yhteyden. Sekä palvelin että sähköpostiohjelma laskevat aikaleiman ja salasanan hajautetun version, sähköpostiohjelma lähettää tuloksen palvelimelle, joka tunnistaa haun sisäänkirjautumisen vastaamaan tulosta.
Kuinka turvallinen on APOP?
Vaikka APOP on turvallisempi kuin pelkkä POP-todennus, se kärsii useista ongelmista, jotka tekevät sen käytön ongelmallisiksi:
- Sekä sähköpostipalvelimessa että sähköpostiohjelmassa on käytettävä (ja ehkä tallentaa) sähköpostitilin salasanan pelkkänä tekstinä; tämä tarjoaa mahdollisen suoraa reittiä salasanan hakemiseen.
- Salasanan, MD5 salatun muotoilun laskenta-algoritmi on päivätty eikä enää pidetä turvallisena. APOP: lle tämä ei tarkoita sitä, että salasanoja on tällä hetkellä helppo purkaa vain salakirjoitetusta lomakkeesta, mutta silti on varovaisuutta.
- on ongelmallista, että salasana lähetetään toistuvasti, vaikkakin salatussa muodossa; joka mahdollistaa enemmän tilaa hyökätä.
Pitäisikö minun käyttää APOP: ta?
Ei, vältä APOP-todennus mahdollisuuksien mukaan.
POP-sähköpostitilin sisäänkirjautumisen turvallisemmat menetelmät ovat olemassa. Käytä näitä sijaan:
- TLS / SSL: kaikki sähköpostiohjelman ja palvelimen välinen liikenne salataan; joka sisältää kaikki käyttäjätunnukset ja salasanat sekä sähköpostit itse.
- AUTH CRAM-MD5: samanlainen kuin APOP, POP-AUTH-yhteinen CRAM-MD5-todennuksen avulla voi olla turvallisempi, koska salasanaa ei tallenneta prosessiin; TLS / SSL on parempi.
Jos sinulla on valinta vain tavallisen POP-todennuksen ja APOP: n välillä, käytä APOP-protokollaa varmempaan kirjautumisprosessiin.