Microsoft prowadzi krucjatę przeciwko uwierzytelnianiu podstawowemu (Basic Auth), które wprost nazywa przestarzałym standardem branżowym, coraz mniej bezpiecznym i powszechnie zastępowanym nowocześniejszymi metodami uwierzytelniania. Funkcja w ramach usługi Exchange Online została uznana za przestarzałą w marcu tego roku, a Microsoft zapowiedział jej wyłączenie. Dokładne plany zostały ujawnione parę dni temu. Sprawdź, co to dokładnie oznacza!
Uwierzytelnianie podstawowe opiera się na wysyłaniu nazw użytkowników i haseł — często przechowywanych bądź zapisywanych na urządzeniu — przy każdym żądaniu. Zwiększa to ryzyko przechwycenia poświadczeń użytkownika przez atakujących, zwłaszcza gdy nie są chronione protokołem TLS. Microsoft już od dłuższego czasu zachęca klientów do przejścia na aplikacje wspierające nowoczesne uwierzytelnianie oparte na OAuth 2.0, jak również przygotowuje ich do wyłączenia Basic Auth w Exchange Online. Zmiana dotyczy subskrypcji komercyjnych Microsoft 365 i nie wpływa na konsumentów korzystających z Outlook.com.
Zmiana polegająca na wyłączeniu Basic Authentication w Exchange Online wpłynie również na Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, MAPI, RPC, SMTP AUTH oraz OAB. Wejdzie ona w życie 1 października 2022 roku i od tego dnia funkcja podstawowego uwierzytelniania będzie permanentnie blokowana we wszystkich wdrożeniach — niezależnie od użycia (za wyjątkiem SMTP Auth, które będzie można włączyć ponownie). Zmiana wydaje się bardzo dobrą rzeczą z perspektywy bezpieczeństwa.
Microsoft radzi, by upewnić się, że nasze wdrożenie nie opiera się na Basic Auth. Najlepiej to zrobić z wyprzedzeniem, sprawdzając dzienniki logowania w Azure Active Directory. Jeśli pokazane jest tam użycie uwierzytelniania Basic (legacy) Auth, znaczy to, że metoda ta jest używana.
341f31d.png)