APOP(“Authenticated Post Office Protocol”的缩写)是RFC 1939中定义的邮局协议(POP)的扩展,密码以加密形式发送。
也称为: 经过身份验证的邮局协议
APOP如何与POP比较?
使用标准POP,用户名和密码通过网络以纯文本形式发送,并可被恶意第三方拦截。 APOP使用共享密钥 - 密码 - 永远不会直接交换,但只能以从每个登录过程唯一的字符串派生的加密形式。
APOP如何运作?
该唯一字符串通常是服务器在用户的电子邮件程序连接时发送的时间戳。然后,服务器和电子邮件程序都计算时间戳的加密版本加上密码,电子邮件程序将其结果发送到服务器,服务器验证哈希的登录是否与其结果相匹配。
APOP有多安全?
虽然APOP比普通的POP身份验证更安全,但它会受到许多弊端的影响:
- 电子邮件服务器和电子邮件程序都需要以纯文本形式使用(并且可能存储)电子邮件帐户密码;这提供了检索密码的潜在直接途径。
- 计算密码的加密形式MD5的算法已过时且不再被视为安全。对于APOP,这并不意味着目前很容易就可以从加密形式破解密码,但它仍然需要谨慎。
- 密码重复发送是有问题的,虽然是加密形式;这允许更多的攻击空间。
我应该使用APOP吗?
不,尽可能避免APOP身份验证。
确实存在登录POP电子邮件帐户的更安全方法。请改用:
- TLS / SSL:电子邮件程序和服务器之间的所有流量都是加密的;包括任何用户名和密码以及电子邮件本身。
- AUTH CRAM-MD5:与APOP类似,使用CRAM-MD5身份验证的POP AUTH可以更安全,因为密码不会存储在进程中; TLS / SSL非常出色。
如果您只能在普通POP身份验证和APOP之间进行选择,请使用APOP进行更安全的登录过程。
APOP示例
服务器:+ OK命令POP3服务器<[email protected]>
客户:APOP用户2014ee2adf2de85f5184a941a50918e3
服务器:+ OK用户有3条消息(853个八位字节)
