Microsoft: Basic Auth in Exchange Online eind dit jaar bij alle klanten uitgezet

[Captain Kirk]

Eind dit jaar zal geen enkele klant van Exchange Online bij het inloggen meer gebruik kunnen maken van protocollen zoals POP en IMAP, zo heeft Microsoft aangekondigd. Het techbedrijf zal dan bij alle klanten Basic Authentication hebben uitgeschakeld. Volgens Microsoft is Basic Authentication, waarbij er wordt ingelogd met alleen een gebruikersnaam en wachtwoord, een verouderde industriestandaard die kwetsbaar is voor aanvallen.

Eerder maakte Microsoft al bekend dat het op 1 oktober met Basic Auth in Exchange Online stopt. Dit zal echter een gefaseerd proces zijn, zo blijkt nu. Vanaf deze datum zal Microsoft namelijk willekeurig klanten kiezen die nog via bijvoorbeeld POP of IMAP op de mailomgeving inloggen. Vervolgens krijgen deze klanten een waarschuwing dat Basic Auth zal worden uitgeschakeld. Microsoft verwacht dat dit gehele proces eind dit jaar is afgerond. Vanwege de impact worden organisaties nu al opgeroepen om hun zaken voor 1 oktober op orde te hebben.

Basic Authentication zal worden uitgeschakeld voor MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP en Remote PowerShell. Er is besloten om SMTP AUTH niet uit te schakelen. Microsoft laat verder weten dat organisaties na oktober niet meer om meer tijd kunnen vragen of een specifieke datum dat Basic Auth wordt uitgeschakeld. Wanneer Basic Authentication uitstaat kunnen e-mailclients of scripts die hier nog mee werken geen verbinding meer maken.

Microsoft claimt dat Basic Auth één van de meest, als niet de meestgebruikte manier is waarop klanten worden gecompromitteerd en dat dit soort aanvallen toeneemt. "We hebben Basic Auth al in miljoenen omgevingen uitgeschakeld waar het niet werd gebruikt", aldus het Microsoft Exchange Team. "Elke dag dat in je omgeving Basic Auth is ingeschakeld loop je risico op aanvallen."

 

bron: https://www.security.nl