Per 1 oktober 2022 stopt Microsoft met zijn basisauthenticatiefunctionaliteit voor Exchange Online. Gebruikers moeten dan zijn overgestapt naar Modern Authentication om alle functionaliteit van Exchange Online te kunnen behouden.

In een blogpost geeft Microsoft aan dat het afsluiten van de basisauthenticatiefunctionaliteit per 1 oktober 2022 de veiligheid van Exchange Online flink moet verbeteren.

Basisauthenticatie is een oud protocol waarmee applicaties via HTTP inloggegevens in plain tekst naar servers, endpoints of online diensten versturen. Het protocol is zeer gevoelig voor man-in-the-middle-aanvallen via TLS. De inloggegevens kunnen daardoor makkelijk via social engineering worden verkregen of door malware die gegevens ontvreemdt. Ook kan met basisauthenticatie heel moeilijk multi-factorauthenticatie (MFA) worden toegepast.

Modern Authentication, een verzamelnaam voor meerdere authenticatie- en autorisatie-methoden, gebruikt zogenoemde OAuth access tokens die niet opnieuw voor authenticatie kunnen worden gebruikt op andere bronnen dan waarvoor ze aanvankelijk werden gebruikt. MFA kan op Modern Authentication heel makkelijk worden gebruikt. Hiermee wordt de security van Exchange Online flink verbeterd.

Tijdspad van drie jaar

De aankomende beëindiging van de ondersteuning van basisauthenticatie is het resultaat van een proces dat drie jaar geleden al werd ingezet. De eerste aankondigingen en waarschuwingen werden al in september 2019 gedaan. Klanten werden in september 2021 en in mei dit jaar al gevraagd basisauthenticatie uit te zetten. Veel gebruikers moesten toen nog naar Modern Authentication overstappen.

Concreet gaat Microsoft nu vanaf 1 oktober 2022 voor willekeurige gebruikers basisauthenticatie voor verschillende protocollen voor Exchange Online uitzetten. Deze protocollen zijn MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) en Remote PowerShell. Hierdoor krijgen gebruikers geen toegang meer tot deze functionaliteit van Exchange Online.

Wel opt-out mogelijk

Microsoft geeft gebruikers nu de mogelijkheid in de settings een ‘opt-out’ aan te geven. Het betekent dat basisauthenticatie niet per 1 oktober automatisch wordt uitgezet en zij dus niet tot de willekeurige groep gebruikers gaan behoren. Gebruikers waarvan de protocollen wel per 1 oktober door de techgigant worden uitgezet, krijgen nog een mogelijkheid deze te herstellen. Dit kunnen zij tot 22 december doen via de self-service diagnosetool.

Aan de definitieve uitfasering van basisauthenticatie voor Exchange Online in de eerste week van januari 2023 kunnen alle gebruikers echter niet ontkomen.

Tip: Microsoft gaat ondersteuning voor Exchange 2013 stoppen