Microsoft Exchange Online аутентификация
Базовая аутентификация облегчает злоумышленникам кражу учетных данных пользователей.
Специалисты компании Microsoft с 1 октября 2022 года намерены отключить базовую проверку подлинности для всех протоколов во всех клиентах Microsoft Exchange Online в целях безопасности пользователей. Объявление было сделано после того, как компания отложила удаление базовой аутентификации из Exchange Online до второй половины 2021 года из-за пандемии COVID-19.
«С 1 октября 2022 года мы начнем безвозвратно отключать базовую аутентификацию для всех клиентов, независимо от использования (за исключением SMTP Auth, которую можно будет снова включить после этого)», — сообщила команда Exchange Online.
Microsoft уже начала отключать базовую аутентификацию в июне нынешнего года для клиентов, которые ее не использовали, а также объяснила, как клиенты могут повторно включить непреднамеренно затронутые протоколы. Для отключения обычной проверки подлинности в Exchange Online до того, как Microsoft полностью выведет ее из эксплуатации, необходимо создать и назначить политики проверки подлинности отдельным пользователям, выполнив действия, подробно описанные на web-сайте поддержки Exchange Online.
Microsoft не пояснила причину данного заявления. Предположительно, причиной является отчет Guardicore об утечке сотен тысяч учетных данных доменов Windows в виде простого текста из-за неправильно настроенных почтовых клиентов с использованием базовой аутентификации.
Базовая проверка подлинности — схема проверки подлинности на основе HTTP, с помощью которой приложения отправляют учетные данные с каждым запросом на подключение к серверам, конечным точкам или online-службам, при этом пары имени пользователя и пароля часто хранятся локально на устройстве.
Хотя это значительно упрощает процесс аутентификации, базовая аутентификация также облегчает злоумышленникам кражу учетных данных, когда соединения не защищены с помощью криптографического протокола TLS.
SECURITYLAB.RU