Microsoft отключит базовую аутентификацию в Exchange Online с октября 2022 года

Специалисты компании Microsoft с 1 октября 2022 года намерены отключить базовую проверку подлинности для всех протоколов во всех клиентах Microsoft Exchange Online в целях безопасности пользователей. Объявление было сделано после того, как компания отложила удаление базовой аутентификации из Exchange Online до второй половины 2021 года из-за пандемии COVID-19.

«С 1 октября 2022 года мы начнем безвозвратно отключать базовую аутентификацию для всех клиентов, независимо от использования (за исключением SMTP Auth, которую можно будет снова включить после этого)», — сообщила команда Exchange Online.

Microsoft уже начала отключать базовую аутентификацию в июне нынешнего года для клиентов, которые ее не использовали, а также объяснила, как клиенты могут повторно включить непреднамеренно затронутые протоколы. Для отключения обычной проверки подлинности в Exchange Online до того, как Microsoft полностью выведет ее из эксплуатации, необходимо создать и назначить политики проверки подлинности отдельным пользователям, выполнив действия, подробно описанные на web-сайте поддержки Exchange Online.

Microsoft не пояснила причину данного заявления. Предположительно, причиной является отчет Guardicore об утечке сотен тысяч учетных данных доменов Windows в ​​виде простого текста из-за неправильно настроенных почтовых клиентов с использованием базовой аутентификации.

Базовая проверка подлинности — схема проверки подлинности на основе HTTP, с помощью которой приложения отправляют учетные данные с каждым запросом на подключение к серверам, конечным точкам или online-службам, при этом пары имени пользователя и пароля часто хранятся локально на устройстве.

Хотя это значительно упрощает процесс аутентификации, базовая аутентификация также облегчает злоумышленникам кражу учетных данных, когда соединения не защищены с помощью криптографического протокола TLS.