Maak je klaar voor MFA, basic authentication verdwijnt

In minder dan 90 dagen, namelijk vanaf oktober 2022, zal er geen basic authentication voor Microsoft Exchange meer mogelijk zijn. En dat is goed nieuws! Basic authentication is nog steeds een van de, zo niet de meest voorkomende, manier waarop organisaties worden gecompromitteerd. Hackers hoeven geen complex authenticatieproces te doorlopen waardoor ze vrij eenvoudig accountgegevens kunnen bemachtigen.

Zo richten aanvallers zich 10 keer meer op accounts die legacy-verificatie gebruiken voor Microsoft 365 dan accounts met moderne verificatieprotocollen. Ongeacht de sector worden organisaties die Microsoft Legacy Authenticaties gebruiken, 53 keer vaker geconfronteerd met bedreigingen. Hoog tijd dus om voluit in te zetten op multi-factor authenticatie!

Hoe uit het verdwijnen van basic authentication ?

Elke client (gebruikersapp, script, integratie, enzovoort) die basic authentication gebruikt voor een van de getroffen protocollen, kan geen verbinding meer maken. De app zal bijgevolg een foutmelding vertonen: incorrecte gebruikersnaam of wachtwoord. Er is geen impact voor authenticaties via de moderne protocollen.

Mogelijke impact van de getroffen protocollen?

Dit zijn de protocollen waar vermoedelijk de meeste impact zal voorvallen:

1. Outlook voor Windows: zorg ervoor dat Office clients up-to-date zijn en dat moderne authenticatie mogelijk is voor de apps.
2. POP / IMAP: deze protocollen komen vaak voor bij applicatietoegang. De applicatie zal moeten overstappen naar een moderne manier van authenticatie of door middel van een tool de toegang krijgen tot de nodige mailboxen.
3. EWS-apps: apps die EWS en basic authentication gebruiken. Zijn er apps die EWS gebruiken met basic authentication, dan kan je dat vaak in de code (laten)wijzigen. Sommigen hebben al een moderne methode ingebouwd waardoor je enkel nog moet overstappen.
4. Exchange ActiveSync: native apps op up-to-date clients ondersteunen modern authentication, maar veel gebruikersapparaten gebruiken nog steeds Basic authentication. Verwijderen van het account en opnieuw toevoegen, zorgt meestal tot het automatisch overschakelen naar moderne verificatie. Vooral iOS en Android toestellen vallen hieronder. De Outlook app zal altijd modern authenticeren en toegang hebben tot Exchange Online.
5. PowerShell-scripts: Moderne authenticatie zal ook voor scripts vereist worden en zal in veel gevallen aanpassingen verwachten.
6. Reporting Web Services: de ondersteuning voor OAuth wordt nu uitgerold. Basic authentication wordt vanaf 1 oktober uitgeschakeld.
7. Microsoft Teams Rooms: zorg ervoor dat deze modern authentication gebruiken.

Gebruik ik nog steeds deze oude protocollen?

Maandelijks is er een melding in het berichtencentrum voor tenants die basic authentication gebruiken. Hierin wordt het gebruik samengevat en dit overzicht bestaat sinds oktober 2021. Deze bevatten niet de exacte cijfers zoals de rapporten van Azure AD, maar dienen als een indicator van je gebruik.

Gedetailleerde overzichten kunnen via Azure AD-aanmeldingsgebeurtenissen opgemaakt worden. Daar is het namelijk mogelijk om te filteren op client-app. Zo kan er gericht gezocht worden naar welke gebruikers of applicaties één van de oudere protocollen gebruiken.