Authenticated Post Office Protocol - LinkFang.de





Authenticated Post Office Protocol


Authenticated Post Office Protocol (APOP) ist ein Verfahren zur sicheren Übertragung des Passworts beim Abruf von E-Mails mittels Post Office Protocol, das 1993 mit RFC 1460 eingeführt wurde. Ohne APOP wird das Passwort im Klartext übertragen und kann dann mittels Sniffer in den Besitz Unbefugter kommen. Die Übertragung der E-Mails verschlüsselt APOP nicht. Auch Passwörter müssen dafür unverschlüsselt gespeichert werden.

APOP gilt als unsicher.[1] Der zugrundeliegende Message Digest Algorithm 5 verbunden mit der zwangsläufig stetig wiederholten Übertragung des Passworts offenbart nach überschaubarer Zeit selbst lange Passwörter.

APOP ist kein zwingender Bestandteil des Post Office Protocols, sondern kann von Mailservern angeboten werden.[2]

Verfahrensablauf

APOP anbietende Mailserver beantworten Kontaktaufnahmen mit einer Zeichenkette, die nach dem einleitenden +OK zusätzlich einen aktuellen Zeitstempel enthält. Dieser muss einer msg-id nach RFC 822 entsprechen und insbesondere einzigartig sein.

APOP unterstützende Mail User Agents durchsuchen die empfangene Zeichenkette nach den spitzen Klammern, die den Zeitstempel markieren. Wenn sie einen Zeitstempel finden, hängen sie an diesen das Passwort an, berechnen aus dieser Kombination einen Hashwert und senden diesen mit dem Befehl APOP und dem Benutzernamen zurück.

Der Mailserver führt dann dieselbe Berechnung durch, vergleicht die beiden Hashwerte und gewährt bei Übereinstimmung Zugriff.

Beispiel

Client Server Erläuterung
pop.example.com:110 Client baut eine POP3-Verbindung zum Server auf
+OK <1896.697170952@pop.example.com> Server sendet +OK und Zeitstempel
APOP adam c4c9334bac560ecc979e58001b3e22fb Client berechnet einen Hash-Wert aus:
"<1896…>passwort" und sendet diesen an den Server
+OK 1 message (369 octets) Server berechnet Hash-Wert ebenfalls, OK bei Übereinstimmung

Alternativen

Einzelnachweise

  1. Security of MD5 Challenge and Response: Extension of APOP Password Recovery Attack . In: Lecture Notes in Computer Science 4964/2008. S. 1-18. Abgerufen am 14. August 2011.
  2. Post Office Protocol – Version 3 . Internet Engineering Task Force. Mai 1996. Abgerufen am 20. August 2011.

Kategorien: Authentifizierungsprotokoll | Internet-E-Mail-Protokoll

Quelle: Wikipedia - http://de.wikipedia.org/wiki/Authenticated Post Office Protocol (Vollständige Liste der Autoren des Textes [Versionsgeschichte])    Lizenz: CC-by-sa-3.0

Änderungen: Alle Bilder mit den meisten Bildunterschriften wurden entfernt. Ebenso alle zu nicht-existierenden Artikeln/Kategorien gehenden internen Wikipedia-Links (Bsp. Portal-Links, Redlinks, Bearbeiten-Links). Entfernung von Navigationsframes, Geo & Normdaten, Mediadateien, gesprochene Versionen, z.T. ID&Class-Namen, Style von Div-Containern, Metadaten, Vorlagen, wie lesenwerte Artikel. Ansonsten sind keine Inhaltsänderungen vorgenommen worden. Weiterhin kann es durch die maschinelle Bearbeitung des Inhalts zu Fehlern gerade in der Darstellung kommen. Darum würden wir jeden Besucher unserer Seite darum bitten uns diese Fehler über den Support mittels einer Nachricht mit Link zu melden. Vielen Dank!

Stand der Informationen: August 201& - Wichtiger Hinweis: Da die Inhalte maschinell von Wikipedia übernommen wurden, ist eine manuelle Überprüfung nicht möglich. Somit garantiert LinkFang.de nicht die Richtigkeit und Aktualität der übernommenen Inhalte. Sollten die Informationen mittlerweile fehlerhaft sein, bitten wir Sie darum uns per Support oder E-Mail zu kontaktieren. Wir werden uns dann innerhalb von spätestens 10 Tagen um Ihr Anliegen kümmern. Auch ohne Anliegen erfolgt mindestens alle drei Monate ein Update der gesamten Inhalte.