我正在查看电子邮件应用程序中使用的协议（特别是POP和APOP），碰巧遇到了这个答案。它说


Authenticated Post Office Protocol，是经过验证的邮局协议的缩写，与POP协议类似，不同之处在于APOP允许您在通过网络传输密码时对其进行加密。使用POP邮件，当您在电子邮件客户端中对用户名和密码进行身份验证时，密码将以纯文本格式通过网络发送。如果您的电子邮件客户端使用APOP，则密码在传输时会被加密。 APOP可以防止黑客通过嗅探器程序查看您的密码信息。


我的问题是：这是APOP和POP之间的主要区别吗？使用POP协议时密码是否未加密？如果不是，是否不会引起安全隐患？

APOP是添加到标准POP3中的新命令，它不会以明文方式（例如，使用USER和PASS命令）传输密码，而是基于摘要的。后来，使用AUTH命令添加了更好的授权，类似于使用SMTP和IMAP进行授权的方式。所有这些方法都不使用加密的密码，而是最多使用哈希密码，这通常需要POP3服务器知道明文密码来验证发送密码。

更好的方法是将POP3与TLS结合使用，例如在进行身份验证之前，可以从TLS连接（POP3）开始或使用STARTTLS命令升级现有连接。