APOP (ראשי תיבות של "Authenticated Post Office Protocol") הוא הרחבה של פרוטוקול הדואר (POP) המוגדר ב- RFC 1939, שבו נשלחת הסיסמה בצורה מוצפנת.
ידוע גם כ: פרוטוקול דואר פוסט מאומת
כיצד APOP השווה ל- POP?
עם POP סטנדרטי, שמות משתמש וסיסמאות נשלחים בטקסט פשוט מעל הרשת וניתן ליירט על ידי צד שלישי זדוני. APOP משתמש בסוד משותף - הסיסמה - זה אף פעם לא מוחלף ישירות אלא רק בצורה מוצפנת הנגזרת מחרוזת ייחודית לכל תהליך כניסה למערכת.
כיצד פועלת APOP?
מחרוזת ייחודית זו היא בדרך כלל חותמת זמן הנשלחת על ידי השרת כאשר תוכנית הדוא"ל של המשתמש מתחברת. גם השרת וגם את תוכנית הדוא"ל ואז לחשב גרסה hashed של חותמת זמן בתוספת הסיסמה, את תוכנית הדוא"ל שולח את התוצאה לשרת, אשר מאמת את הכניסה של חשיש תואם את התוצאה שלה.
איך מאובטח הוא APOP?
בעוד APOP הוא בטוח יותר מאשר אימות POP רגיל, הוא סובל ממספר תחלואים המעידים על שימוש בעייתי:
- הן שרת הדוא"ל והן תוכנית הדואר האלקטרוני צריכים להשתמש (ואולי, לאחסן) את סיסמת חשבון הדואר האלקטרוני בטקסט רגיל; זה מציע נתיב ישיר פוטנציאלי לאחזור הסיסמה.
- האלגוריתם כדי לחשב את הצורה המוצפנת של הסיסמה, MD5, מתאריך ולא נחשב עוד מאובטח. עבור APOP, זה לא אומר שזה כרגע ניתן בקלות לפצח סיסמאות רק מן הצורה המוצפנת שלהם, אבל זה עדיין מצדיק זהירות.
- זה בעייתי כי הסיסמה נשלחת שוב ושוב, אם כי בצורה מוצפנת; המאפשר יותר מקום לתקוף.
האם עלי להשתמש ב- APOP?
לא, הימנע מאימות APOP במידת האפשר.
שיטות בטוחות יותר להיכנס לחשבון דוא"ל של POP קיימות. השתמש במקום זאת:
- TLS / SSL: כל התנועה בין תוכנית הדוא"ל לשרת מוצפנת; הכולל כל שם משתמש וסיסמה וכן הודעות דוא"ל עצמן.
- AUTH CRAM-MD5: בדומה ל- APOP, ה- POP AUTH הנפוץ באימות CRAM-MD5 יכול להיות מאובטח יותר מכיוון שהסיסמה אינה מאוחסנת בתהליך; TLS / SSL הוא מעולה.
אם יש לך בחירה רק בין אימות POP רגיל ל- APOP, השתמש ב- APOP לקבלת תהליך כניסה מאובטח יותר.
לדוגמה APOP
שרת: + אישור שרת POP3 בפקודה שלך <[email protected]>
לקוח: APOP משתמש 2014ee2adf2de85f5184a941a50918e3
שרת: + אישור המשתמש יש 3 הודעות (853 octets)
