APOP (acrónimo de "Authenticated Post Office Protocol") es una extensión del Post Office Protocol (POP) definido en RFC 1939 con el cual la contraseña se envía en forma cifrada.
También conocido como: Protocolo autenticado de la oficina de correos
¿Cómo se compara APOP con POP?
Con el POP estándar, los nombres de usuario y las contraseñas se envían en texto sin formato a través de la red y pueden ser interceptados por un tercero malintencionado. APOP utiliza un secreto compartido, la contraseña, que nunca se intercambia directamente sino solo en una forma cifrada derivada de una cadena única para cada proceso de inicio de sesión.
¿Cómo funciona APOP?
Esa cadena única suele ser una marca de tiempo enviada por el servidor cuando el programa de correo electrónico del usuario se conecta. Tanto el servidor como el programa de correo electrónico luego calculan una versión con hash de la marca de tiempo más la contraseña, el programa de correo electrónico envía su resultado al servidor, que autentica el inicio de sesión del hash y su resultado.
¿Qué tan seguro es APOP?
Si bien APOP es más seguro que la autenticación POP simple, tiene varios problemas que hacen que su uso sea problemático:
- Tanto el servidor de correo electrónico como el programa de correo electrónico deben usar (y, quizás, almacenar) la contraseña de la cuenta de correo electrónico en texto sin formato; esto ofrece una ruta potencialmente directa para recuperar la contraseña.
- El algoritmo para calcular la forma cifrada de la contraseña, MD5, está fechado y ya no se considera seguro. Para APOP, eso no significa que actualmente sea fácil de descifrar las contraseñas solo desde su forma encriptada, pero aún así se requiere precaución.
- es problemático que la contraseña se envíe repetidamente, aunque en forma cifrada; que permite más espacio para atacar.
¿Debo usar APOP?
No, evite la autenticación APOP cuando sea posible.
Existen métodos más seguros para iniciar sesión en una cuenta de correo electrónico POP. Use estos en su lugar:
- TLS / SSL: todo el tráfico entre el programa de correo electrónico y el servidor está cifrado; que incluye cualquier nombre de usuario y contraseña, así como correos electrónicos en sí mismos.
- AUTH CRAM-MD5: similar a APOP, el POP AUTH común que usa la autenticación CRAM-MD5 puede ser más seguro ya que la contraseña no se almacena en el proceso; TLS / SSL es superior.
Si solo tiene la opción entre la autenticación POP simple y APOP, use APOP para un proceso de inicio de sesión más seguro.
Ejemplo de APOP
Servidor: + Aceptar servidor POP3 a su disposición <[email protected]>
Cliente: usuario APOP 2014ee2adf2de85f5184a941a50918e3
Servidor: + OK el usuario tiene 3 mensajes (853 octetos)
