APOP (Abkürzung für "Authenticated Post Office Protocol") ist eine Erweiterung des in RFC 1939 definierten Post Office Protocol (POP), mit dem das Kennwort in verschlüsselter Form gesendet wird.
Auch bekannt als: Authentifiziertes Post-Office-Protokoll
Wie lässt sich APOP mit POP vergleichen?
Mit der Standard-POP werden Benutzernamen und Passwörter im Klartext über das Netzwerk gesendet und können von einem böswilligen Dritten abgefangen werden. APOP verwendet ein gemeinsames Geheimnis (das Kennwort), das niemals direkt ausgetauscht wird, sondern nur in verschlüsselter Form, die von einer Zeichenfolge abgeleitet wird, die für jeden Anmeldeprozess eindeutig ist.
Wie funktioniert APOP?
Diese eindeutige Zeichenfolge ist normalerweise ein Zeitstempel, der vom Server gesendet wird, wenn das E-Mail-Programm des Benutzers eine Verbindung herstellt. Sowohl der Server als auch das E-Mail-Programm berechnen dann eine Hash-Version des Zeitstempels plus das Kennwort. Das E-Mail-Programm sendet das Ergebnis an den Server, der die Anmeldung des Hashs mit seinem Ergebnis authentifiziert.
Wie sicher ist APOP?
Während APOP sicherer ist als eine einfache POP-Authentifizierung, leidet es an einer Reihe von Problemen, die seine Verwendung problematisch machen:
- Sowohl der E-Mail-Server als auch das E-Mail-Programm müssen das Kennwort des E-Mail-Kontos im Klartext verwenden (und möglicherweise speichern). Dies bietet einen potenziell direkten Weg zum Abrufen des Passworts.
- Der Algorithmus zur Berechnung der verschlüsselten Form des Kennworts, MD5, ist datiert und gilt nicht mehr als sicher. Für APOP bedeutet dies nicht, dass es derzeit leicht möglich ist, Kennwörter nur aus ihrer verschlüsselten Form heraus zu knacken, aber es ist dennoch Vorsicht geboten.
- Es ist problematisch, dass das Passwort wiederholt gesendet wird, allerdings in verschlüsselter Form. das gibt mehr Raum zum Angriff.
Soll ich APOP verwenden?
Nein, wenn möglich, APOP-Authentifizierung vermeiden.
Es gibt sicherere Methoden, um sich bei einem POP-E-Mail-Konto anzumelden. Verwenden Sie stattdessen diese:
- TLS / SSL: Der gesamte Datenverkehr zwischen dem E-Mail-Programm und dem Server wird verschlüsselt. Dazu gehören Benutzername und Passwort sowie E-Mails selbst.
- AUTH CRAM-MD5: Ähnlich wie bei APOP kann die mit CRAM-MD5-Authentifizierung übliche POP AUTH-Datei sicherer sein, da das Kennwort nicht im Prozess gespeichert wird. TLS / SSL ist überlegen.
Wenn Sie nur zwischen reiner POP-Authentifizierung und APOP wählen können, verwenden Sie APOP für einen sichereren Anmeldeprozess.
APOP-Beispiel
Server: + OK POP3-Server unter Ihrem Befehl <[email protected]>
Kunde: APOP-Benutzer 2014ee2adf2de85f5184a941a50918e3
Server: + OK Benutzer hat 3 Nachrichten (853 Oktette)
