APOP (acronyme de "Authenticated Post Office Protocol") est une extension du protocole POP (Post Office Protocol) défini dans la RFC 1939 avec laquelle le mot de passe est envoyé sous forme cryptée.
Aussi connu sous le nom: Protocole postal authentifié
Comment APOP se compare-t-il à POP?
Avec le protocole POP standard, les noms d'utilisateur et les mots de passe sont envoyés en texte brut sur le réseau et peuvent être interceptés par un tiers malveillant. APOP utilise un secret partagé, le mot de passe, qui n'est jamais échangé directement, mais uniquement sous une forme chiffrée dérivée d'une chaîne unique pour chaque processus de connexion.
Comment fonctionne APOP?
Cette chaîne unique est généralement un horodatage envoyé par le serveur lorsque le programme de messagerie de l'utilisateur se connecte. Le serveur et le programme de messagerie calculent ensuite une version hachée de l'horodatage plus le mot de passe. Le programme de messagerie envoie son résultat au serveur, qui authentifie la connexion du hachage à son résultat.
Quel est le niveau de sécurité de APOP?
Bien que APOP soit plus sécurisé que l'authentification POP simple, il souffre d'un certain nombre de maux qui rendent son utilisation problématique:
- Le serveur de messagerie et le programme de messagerie doivent tous deux utiliser (et peut-être stocker) le mot de passe du compte de messagerie en texte brut; cela offre un chemin potentiellement direct pour récupérer le mot de passe.
- L'algorithme permettant de calculer la forme chiffrée du mot de passe, MD5, est daté et n'est plus considéré comme sécurisé. Pour APOP, cela ne signifie pas qu’il est actuellement facilement possible de déchiffrer les mots de passe uniquement à partir de leur forme cryptée, mais cela mérite tout de même une mise en garde.
- il est problématique que le mot de passe soit envoyé à plusieurs reprises, bien que sous forme cryptée; cela permet plus de place pour attaquer.
Devrais-je utiliser APOP?
Non, évitez si possible l’authentification APOP.
Il existe des méthodes plus sûres pour se connecter à un compte de messagerie POP. Utilisez ceux-ci à la place:
- TLS / SSL: tout le trafic entre le programme de messagerie et le serveur est crypté; cela inclut n'importe quel nom d'utilisateur et mot de passe, ainsi que les emails eux-mêmes.
- AUTH CRAM-MD5: semblable à APOP, le commun POP AUTH utilisant l'authentification CRAM-MD5 peut être plus sécurisé, car le mot de passe n'est pas stocké dans le processus; TLS / SSL est supérieur.
Si vous avez le choix uniquement entre une authentification POP simple et APOP, utilisez APOP pour un processus de connexion plus sécurisé.
Exemple APOP
Serveur: + OK Serveur POP3 à votre commande <[email protected]>
Client: utilisateur APOP 2014ee2adf2de85f5184a941a50918e3
Serveur: + OK l'utilisateur a 3 messages (853 octets)
