[postfix-jp:03243] Re: APOPパ スワードの保護について

[Tatsuya Ueda <tatsuya@xxxxxxxxxxxxxxx>]

返信ありがとうございます。S-Lines Network Service の 上田 です。

「Hideo NAKAMITSU <nomo@xxxxxxxxxxxxx>」 さんの
「[postfix-jp:03242] Re: APOPパスワードの保護について」 への返信です。

> > APOP認証を利用する場合は データベース なり 認証ファイル に平文のパスワードを
> > 保持していなければいけないという点です。
> > 
> > 調べてみたところ http://search.luky.org/linux-users.6/msg08245.html の様な
> > 投稿も見つけたのですが、やはりAPOPを使用する際は 平文パスワード をサーバ側で
> > 保持しなければいけないようです。
> 
> 正確には平文パスワードと言うより復号可能なパスワードですかね．
> APOPもCRAM-MD5もtelnetコマンドで認証実験を行ってみると動きがよく分かります．

自分試したPOP3dはteapopというものだったのですが、試した限りAPOP認証を行う場合は、
平文パスワードをデータベースに保持していないと認証ができなかったのですが、
暗号化されたパスワードでできるPOP3dがあるのでしょうか？


> > 個人的に、ネットワークに平文のパスワードが流れるよりはサーバ側で権限がなければ
> > 見れないところに平文パスワードが保持されている方がましだとは思うのですが、
> > みなさんはどうお考えでしょうか？
> > (ただ平文でパスワードを管理すると考えるとちょっと怖いような・・)
> > 
> > 意見を聞かせていただけたらと思います。
> 
> SSL/TLSではダメですか？

あいにく今現在利用している Becky が対応していないのと、自分以外のユーザも
利用しているためSSL/TLSは今のところ使わないつもりで居ます。


---
 TATSUYA   E-Mail : tatsuya@xxxxxxxxxxxxxxx
           W e b  : http://TATSUYA.info/