APOP (acroniem van "Authenticated Post Office Protocol") is een uitbreiding van het Post Office Protocol (POP) gedefinieerd in RFC 1939 waarmee het wachtwoord in gecodeerde vorm wordt verzonden.
Ook gekend als: Geverifieerd Post Office-protocol
Hoe vergelijkt APOP met POP?
Met de standaard POP worden gebruikersnamen en wachtwoorden in platte tekst via het netwerk verzonden en kunnen ze worden onderschept door een kwaadwillende derde partij. APOP gebruikt een gedeeld geheim - het wachtwoord - dat nooit rechtstreeks wordt uitgewisseld, maar alleen in een gecodeerde vorm die is afgeleid van een tekenreeks die uniek is voor elk inlogproces.
Hoe werkt APOP?
Die unieke reeks is meestal een tijdstempel die door de server wordt verzonden wanneer het e-mailprogramma van de gebruiker verbinding maakt. Zowel de server als het e-mailprogramma berekenen vervolgens een gehashte versie van de tijdstempel plus het wachtwoord, het e-mailprogramma verzendt het resultaat naar de server, die verifieert dat de logboekregistratie van de hash overeenkomt met het resultaat.
Hoe veilig is APOP?
Hoewel APOP veiliger is dan eenvoudige POP-verificatie, heeft het te maken met een aantal problemen die het gebruik ervan problematisch maken:
- Zowel de e-mailserver als het e-mailprogramma moeten het wachtwoord van de e-mailaccount gebruiken (en misschien bewaren) in platte tekst; dit biedt een mogelijk directe route om het wachtwoord op te halen.
- Het algoritme voor het berekenen van de gecodeerde vorm van het wachtwoord, MD5, is gedateerd en wordt niet langer als veilig beschouwd. Voor APOP betekent dat nog niet dat het op dit moment eenvoudig mogelijk is om wachtwoorden te kraken vanuit hun versleutelde vorm, maar het vereist nog steeds voorzichtigheid.
- het is problematisch dat het wachtwoord herhaaldelijk wordt verzonden, zij het in gecodeerde vorm; dat zorgt voor meer ruimte om aan te vallen.
Moet ik APOP gebruiken?
Nee, vermijd APOP-authenticatie indien mogelijk.
Veiliger methoden om in te loggen op een POP-e-mailaccount bestaan wel. Gebruik deze in plaats daarvan:
- TLS / SSL: alle verkeer tussen het e-mailprogramma en de server is gecodeerd; dat omvat elke gebruikersnaam en wachtwoord, evenals e-mails zelf.
- AUTH CRAM-MD5: vergelijkbaar met APOP, kan de POP AUTH-standaard die CRAM-MD5-authenticatie gebruikt, veiliger zijn omdat het wachtwoord niet in het proces wordt opgeslagen; TLS / SSL is superieur.
Als u alleen de keuze hebt tussen normale POP-verificatie en APOP, gebruikt u APOP voor een veiliger aanmeldingsproces.
APOP-voorbeeld
Server: + OK POP3-server op uw commando <[email protected]>
Klant: APOP-gebruiker 2014ee2adf2de85f5184a941a50918e3
Server: + OK gebruiker heeft 3 berichten (853 octets)
