pop の方もパスワードが平文ってのはまずいだろう。というわけで、APOP や SSL なんてのがあるみたいだけどとりあえず簡単そうな APOP を使うことにした。
まずはイニシャライズ作業が必要。これは最初の一回だけ。

paraches@debian:~$ sudo popauth -init
Password:
paraches@debian:~$ 

で、ユーザの登録。

paraches@debian:~$ popauth
Adding only APOP password for paraches.
New password:
Retype new password:
paraches@debian:~$ 

ユーザが自分で popauth と打つと自分を登録できるらしい。ルートで popauth -user hoge としてもユーザ hoge を加えられる。APOP か普通 POP かはユーザ単位で設定ができる。

あと、Qpopper は（debian での？）デフォルトでは全てのユーザに平文パスワードを許可している。これがまずいな〜と思う場合は /etc/qpopper.conf の Sets clear text handling options. の部分をこんな感じにする。

# Sets clear text handling options.  Values are:
#    o 'default'  Clear text passwords are permitted for all users,
#                 except those in the APOP database
#    o 'never'    Clear text passwords are never permitted
#    o 'always'   Clear text passwords are always permitted
#    o 'local'    Clear text passwords are permitted on the local
#                 (127.*.*.*) loop back interface only
#    o 'tls'      Clear text passwords are permitted when TLS/SSL
#                 has been negotiated for the session
#    o 'ssl'      Same as tls
#
# The 'tls' and 'ssl' values are only valid if '--with-openssl' or
# '--with-sslplus' was used with ./configure.
#
# Default: default
#
set clear-text-password      = never

APOP を使うのを止めるのは

paraches@debian:~$ sudo popauth -delete paraches

これで APOP 使う人リストから消せるらしい。