Zabezpečení cloudových technologií postupuje mílovými kroky. Microsoft nedávno oznámil definitivní ukončení podpory Basic autentizace pro komunikační protokoly služby Exchange Online s účinností od 1. října 2022. Jedná se o protokoly MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) a Remote PowerShell. Výjimkou je pouze SMTP.
Autentizace staršího software, jako třeba Outlook 2010 nebo software, který využívá IMAP, POP3 a SMTP protokoly, se nazývá “Legacy Authentication”. Patří sem i Basic autentizace. Basic autentizace v jednoduchosti znamená, že aplikace odešle uživatelské jméno a heslo s každým požadavkem. Přihlašovací údaje bývají často uloženy v jednotlivých zařízeních a jsou zasílány formou dat po síti, kde je může získat průměrně zkušený hacker. Basic autentizace je tradičně na většině serverů nebo služeb ve výchozím nastavení povolena, její nastavení je snadné a v současnosti představuje největší bezpečnostní trhlinu v procesu ověřování. Dnes většina všech kompromitujících pokusů o přihlášení pochází z použití Legacy Authentication, které nepodporuje vícefaktorové ověřování (MFA). I když máte ve své adresářové službě povolenou zásadu MFA, může se útočník ověřit pomocí Legacy Authentication a obejít MFA.
Proces postupné deaktivace byl již zahájen a Basic autentizace je deaktivována tam, kde na základě telemetrických měření není dlouhodobě využívána. Vypnutí Basic autentizace je zákazníkovi vždy oznámeno mailovou zprávou, například pro POP3 je to „Turned-Off Basic Authentication – POP3“. Dle oznámení Microsoftu však podpora skončí úplně. S účinností od 1. října 2022 bude trvale deaktivována Basic autentizace pro Exchange Online u všech tenantů Microsoft 365 bez ohledu na využití, s výjimkou ověřování SMTP. Dosud Microsoft zakazoval Basic autentizaci v tenantech, kde tato autentizace nebyla použita, ale v současné době se již deaktivuje i tam, kde se stále používá, neboť prodlužování použití Basic autentizace zvyšuje riziko útoku. Přesněji, datum 1. října není datum, kdy bude Basic autentizace všem vypnuta, ale bude vypínána postupně ve všech tenantech v náhodném pořadí. Dokončení se očekává zhruba do konce roku 2022. Od 1. října 2022 však již nebude možné požádat o výjimku na prodloužení funkce Basic autentizace.
Vypnutí Basic autentizace je doporučeno provést co nejdříve vlastními silami a postup je popsán zde:
Pokročilé techniky, obecně doporučené pro zabezpečení autentizace, jsou již využívány jako výchozí bezpečnostní nastavení:
- Požadavky na vícefaktorové ověřování (MFA)
- Blokování Legacy Authentication protokolů
- Ochrana privilegovaných aktivit (například přístup k Azure Portal a podobně)
Zákaz Basic autentizace patří k naprosto základním bezpečnostním opatřením, které je již mnoho let doporučováno. Od 1. října 2022 bude s konečnou platností povinné.
