Microsoft przypomina, że na początku stycznia 2023 roku permanentnie wyłączy Basic auth (podstawowe uwierzytelnianie) w dzierżawach Exchange Online. Początkowo miało to nastąpić w październiku, jednak ostatecznie termin przesunięto o 3 miesiące. Co warto na ten temat wiedzieć?
Od początku stycznia będziemy wysyłać posty Message Center do objętych tym dzierżaw około 7 dni przed wprowadzeniem zmiany konfiguracji, mającej na celu permanentne wyłączenie użycia Basic auth dla protokołów w zakresie (nadal nie dotykamy SMTP, ale wy powinniście).
Wkrótce po trwałym wyłączeniu uwierzytelniania podstawowego wszyscy klienci lub aplikacje łączące się przy użyciu uwierzytelniania podstawowego z jednym z protokołów, których to dotyczy, otrzymają błąd nieprawidłowej nazwy użytkownika/hasła/HTTP 401.
Jedynym rozwiązaniem jest aktualizacja klienta lub aplikacji albo użycie innego klienta bądź aplikacji obsługującej nowoczesne uwierzytelnianie (Modern authentication).
— The Exchange Team
Microsoft wyjaśnia, że wprowadza tę zmianę, aby chronić dzierżawy Microsoft 365 oraz dane klientów przed rosnącym ryzykiem towarzyszącym Basic Authentication. Po jego wyłączeniu nie będzie sposobu na jego przywrócenie. Dojście do tego punktu zajęło ponad 3 lata i wiemy, że wymagało wiele wysiłku również od klientów, partnerów i deweloperów. Dziękujemy wszystkim, którzy odegrali swoją rolę, pomagając zabezpieczyć dane i dzierżawy klientów. Razem poprawiliśmy bezpieczeństwo! — dodaje zespół Exchange.
Uwierzytelnianie podstawowe opiera się na wysyłaniu nazw użytkowników i haseł — często przechowywanych bądź zapisywanych na urządzeniu — przy każdym żądaniu. Zwiększa to ryzyko przechwycenia poświadczeń użytkownika przez atakujących, zwłaszcza gdy nie są chronione protokołem TLS. Microsoft już od dłuższego czasu zachęca klientów do przejścia na aplikacje wspierające nowoczesne uwierzytelnianie oparte na OAuth 2.0. Więcej na ten temat przeczytacie zarówno w oficjalnej dokumentacji, jak też w naszych starszych artykułach:
844bf20.png)