Microsoft и Google отложили удаление базовой аутентификации из-за пандемии

imageФото: wiseit.com

Microsoft объявила, что удаление Basic Authentication из Exchange Online откладывается до второй половины 2021 года из-за текущей ситуации, вызванной пандемией COVID-19.

«В ответ на кризис, вызванный COVID-19, и понимая, что приоритеты многих наших клиентов изменились, мы решили отложить отключение базовой аутентификации в Exchange Online для тех, которые все еще активно ее используют, до второй половины 2021 года», — объявила команда Microsoft Exchange.

Однако, начиная с октября 2020 года, Microsoft, как и предполагалось ранее, начнет автоматически отключать базовую аутентификацию для всех новых клиентов и для тех, кто не использует ее активно. «Мы также продолжим завершение развертывания поддержки OAuth для POP, IMAP, SMTP AUTH и Remote PowerShell и дальнейшее улучшение наших возможностей по отчетности», — сказали в Microsoft. — «Мы по-прежнему намерены увести наших клиентов от базовой аутентификации, поскольку твердо убеждены в том, что повышение безопасности в Exchange Online приносит пользу всем. Поэтому мы объявим более точные сроки отключения базовой аутентификации для клиентов, которые используют ее, позднее».

Ранее Microsoft заявляла, что базовая аутентификация будет отключена в Exchange Online для Exchange ActiveSync (EAS), POP, IMAP и Remote PowerShell, начиная с 13 октября 2020 года.

Базовая аутентификация
Также известна как прокси-аутентификация или устаревшая аутентификация. Это процесс, посредством которого настольные и мобильные приложения отправляют пары имя пользователя/пароль при каждом запросе, выполняемом при подключении к серверам, конечным точкам или онлайн-службам, причем учетные данные пользователей часто сохраняются локально на устройстве.

Несмотря на то, что это значительно упрощает процесс аутентификации, базовая аутентификация значительно облегчает злоумышленникам кражу учетных данных, особенно когда информация отправляется по незашифрованным каналам. Кроме того, там, где включена функция, сложнее подключить многофакторную аутентификацию (MFA), так как выбор делают в пользу более простого способа.


Microsoft рекомендует включить Modern Auth. Она представляет собой современный метод аутентификации, фактически это библиотека аутентификации Active Directory (ADAL) и аутентификации на основе токенов OAuth 2.0, которая позволяет приложениям использовать токены доступа OAuth с ограниченным временем жизни и блокировать их повторное использование на других ресурсах.

После включения Modern Auth применение MFA также становится намного проще, а непосредственным его результатом является повышение безопасности данных в Exchange Online.

На видео описаны шаги, необходимые для добавления MFA в почтовые ящики Exchange Online или локальные почтовые ящики:


Чтобы отключить базовую аутентификацию Exchange Online до момента ее вывода из эксплуатации, необходимо создать и назначить политики аутентификации для отдельных пользователей, следуя процедуре, описанной на сайте поддержки Microsoft Online Exchange.

В документе о включении Modern Auth в Exchange Online также говорится, что на данный момент «современная аутентификация включена по умолчанию в Exchange Online, Skype для бизнеса Online и SharePoint Online».

«Последнее, что нужно прояснить — это изменение касается только Exchange Online, мы ничего не меняем в локальных продуктах Exchange Server», — подчеркнули в Microsoft.

Google также объявил в декабре 2019 года, что будет блокировать менее защищенные приложения (LSA) от доступа к данным учетных записей G Suite, начиная с февраля 2021 года.

Теперь компания заявляет, что отключение LSA отложено на неопределенный срок.

«Поскольку многие организации сталкиваются с воздействием COVID-19 и в настоящее время сосредоточены на поддержке удаленной рабочей силы, мы хотим минимизировать потенциальные сбои в работе для клиентов, которые не могут завершить переход в этот период», — заявили в Google.

В LSA также используется метод базовой аутентификации, и, не будучи приложениями Google, они получают доступ к учетным записям Google с помощью пар имени пользователя и пароля, тем самым подвергая пользователей риску атак.

Ранее Google планировал полностью заблокировать доступ LSA ко всем учетным записям G Suite и рекомендовал разработчикам обновить все свои приложения, чтобы использовать OAuth 2.0 для обеспечения совместимости учетных записей G Suite.

Google также советует пользователям переходить на приложения, поддерживающие OAuth, поскольку это защищает их учетные записи от краж данных.

См. также:

© Habrahabr.ru