Майкрософт обяви, че основното удостоверяване ще бъде изключено за всички наематели от 1 октомври 2022 г., за да се защитят милиони потребители на Exchange Online.
Това съобщение идва, след като компанията отложи премахването на Basic Authentication от Exchange Online за втората половина на 2021г. поради пандемията от COVID-19.
„Днес обявяваме, че от 1 октомври 2022г. ще започнем да деактивираме за постоянно Basic Auth за всички наематели, независимо от използването (с изключение на SMTP Auth, който все още може да бъде активиран отново след това)“, каза екипът на Exchange Online по-рано тази седмица.
Microsoft вече започна да деактивира основното удостоверяване през юни за наематели, които не го използват, също така обясни как клиентите могат да активират повторно протоколи, засегнати по невнимание.
За да деактивирате основното удостоверяване в Exchange Online, преди Microsoft да го забрани, трябва да създадете и присвоите политики за удостоверяване на отделни потребители, като използвате стъпките, описани подробно на уебсайта за поддръжка на Exchange Online.
„Деактивирането на основното удостоверяване и изискването на модерна автентификация с MFA е едно от най-добрите неща, които можете да направите, за да подобрите сигурността на данните и това трябва да е добро нещо“, каза Microsoft преди две години, когато разкри, че модерното удостоверяване ще се прилага за всички наематели на Exchange Online.
Въпреки че Microsoft не предостави точната причина, поради която са решили да направят това съобщение тази седмица, причината вероятно е доклад на Guardicore, който разкрива как стотици хиляди идентификационни данни за домейн на Windows са изтекли в чист текст от неправилно конфигурирани имейл клиенти, използващи основно удостоверяване.
Амит Серпер, AVP на Guardicore за изследвания по сигурността, който е автор на доклада, също разкри атака, наречена „The ol’ switcheroo“, която принуждава клиент на Exchange да преговаря при основно удостоверяване.
Основното удостоверяване (известно още като прокси удостоверяване) е HTTP-базирана схема за удостоверяване, чрез която приложенията изпращат идентификационни данни с всяка заявка за връзка, направена към сървъри, крайни точки или онлайн услуги, като двойките потребителско име/парола често се съхраняват локално на устройството.
Въпреки че значително опростява процеса на удостоверяване, основното удостоверяване също така улеснява нападателите да откраднат идентификационните данни, когато връзките не са защитени с помощта на криптографския протокол за сигурност на транспортния слой (TLS).
За да направи нещата още по-лоши, активирането на многофакторна автентификация (MFA) не е лесно, когато се използва основно удостоверяване, следователно често изобщо не се използва.
Съвременното удостоверяване (библиотека за удостоверяване на активна директория (ADAL) и удостоверяване, базирано на токени) позволява на приложенията да използват токени за достъп на OAuth с ограничен живот и не могат да бъдат използвани повторно за удостоверяване на други ресурси, освен тези, за които са били издадени.
След като модерното удостоверяване е включено, разрешаването и прилагането на MFA ще стане по-лесно, с подобрена сигурност на данните в Exchange Online като пряк и незабавен резултат.