[OT]Seguridad en correo electrónico

Sip, a menos que el servidor tenga configurada la conexion SSL

Un Saludo

Raul Serrano
MVP Windows Shell/User

-
- FAQ Windows XP - http://www.raulserrano.net/faq
- Expert Zone - http://www.microsoft.com/windowsxp/expertzone
-


"Alberto" escribió en el mensaje
news:
| ¿Es cierto que la contraseña del correo se envía al servidor pop3 sin
cifrar
| (en texto plano)?
| Gracias
|
|

El mensaje news: fue rubricado
(salvo pruebas en contra) por Alberto ().

¿Es cierto que la contraseña del correo se envía al servidor pop3 sin
cifrar (en texto plano)?
Gracias

[Modo vuelta paulatina ON]

Si el cliente de correo utiliza "a saco" el método habitual de
autenticación basado en los comandos USER y PASS, sí. PASS exige que la
contraseña se envíe en texto plano.
Sin embargo, la especificación de POP3 define el comando opcional APOP,
que permite autenticarse en un servidor POP3 sin revelar la contraseña.
Si el servidor admite este comando, añade a su "saludo" una cadena de
caracteres que se atiene al formato general de los identificadores de
mensaje, ón_servidor>. Es esencial que
esa cadena no se repita nunca en dos conexiones distintas cualesquiera.
Un ejemplo ficticio:
+OK POP3 ready

Seguidamente, si el cliente de correo contempla el uso del comando APOP,
envía APOP seguido del nombre de usuario y el hash MD5, 16 bytes
formateados como 32 dígitos hexadecimales en minúsculas, calculado a
partir de la concatenación de la cadena de caracteres del servidor
(corchetes angulares incluidos) y la contraseña. Si el cliente de correo
no tiene implementado el mecanismo de autenticación APOP, utiliza el
método normal USER/PASS y ya está.

Supongamos que el usuario SemiP quiere leer su correo y su contraseña es
AMDrulez. El hash MD5 de la cadena
"AMDrulez" (sin comillas) es
26a448421a6cffe02d9315de3e3a2a45. Entonces el cliente de correo envía:
APOP SemiP 26a448421a6cffe02d9315de3e3a2a45
El servidor recibe esa línea. Averigua que es un comando APOP, así que
busca al usuario SemiP (su primer parámetro) en su base de datos. Si lo
encuentra, obtiene su contraseña. Seguidamente, calcula el hash MD5 a
partir de la cadena que él mismo generó y la contraseña obtenida. Si
coincide con el segundo parámetro del comando APOP, el hash MD5 del
cliente, la autenticación es correcta. En caso contrario, se supone que
las contraseñas son diferentes al ser también distintos los "hashes", y
por tanto la petición de acceso es denegada. Por las propiedades de MD5
sería muy improbable, por no decir imposible, que un cliente mandara un
hash codificado con una contraseña incorrecta y el servidor lo aceptara.

MD5 es un algoritmo que a una determinada cadena de longitud arbitraria
le asigna un valor de 128 bits (16 bytes), llamado "hash MD5" o también
"message digest". En un tiempo razonable, no es posible obtener la
cadena original a partir de un cierto hash ni dar con dos cadenas
distintas que produzcan el mismo hash.

Por cierto, el protocolo POP3 sólo da respuestas positivas, "+OK", o
negativas, "-ERR", no más.

También se define en otra especificación el comando AUTH aplicado a
POP3, que abre las puertas al uso de otros métodos de autenticación
descritos a su vez en otros documentos.

Otra cosa distinta sería encapsular POP3 en una conexión segura SSL. En
ese caso, a partir del momento en que se negocia SSL con éxito, *toda*
la comunicación entre el cliente y el servidor queda cifrada.

Ramón Sola / Málaga (España) / MVP Windows - Shell/User
(yanoseashooligan -> yahoo)
La información contenida en este mensaje se proporciona TAL CUAL,
sin garantías expresas ni implícitas, y no otorga derecho alguno.
Usted asume cualquier riesgo al poner en práctica lo recomendado o
sugerido en el presente mensaje.

Si la envidia fuera tiña...