Microsoft beëindigt volgende week basale beveiliging Exchange Online

Dat bericht wordt dan zeven dagen vóór deze configuratiewijziging verstuurd, als post in het Message Center voor organisaties die Exchange Online gebruiken. Microsoft heeft de aankomende afdanking (deprecation) van Basic Authentication eerder deze maand aangekondigd in een blogpost. Het gaat om uitschakeling voor een aantal protocollen, maar níet voor alle protocollen.

SMTP aanpakken

Het gaat om protocollen die 'in scope' zijn, wat nu niet het oudere e-mailprotocol SMTP omvat. Microsoft stelt dat het daar nog steeds niet aankomt, maar spoort gebruikers aan dat die dat zelf wel zouden moeten doen. Het linkt bij die 'aanmaning' naar een oudere blogpost hoe authenticatie valt te gebruiken om een bepaald type brute-force aanvallen te bestrijden. Het gaat om zogeheten password spray-aanvallen waarbij wachtwoorden worden buitgemaakt door inlogs te proberen met gebruikersnamen in combinatie met een lijst van veelgebruikte wachtwoorden. 

Voor andere, oude protocollen gaat Microsoft in januari dus de basale authenticatie uitschakelen. Dit moet organisaties en mensen die Exchange Online gebruiken beter beschermen tegen hackaanvallen. Het Exchange-team van Microsoft werkt al drie jaar aan het implementeren van deze configuratiewijziging voor beveiligingsverbetering. Oorspronkelijk is in 2019 al aangekondigd dat de uitschakeling van 'Basic Auth' ging komen. Volgende week is het dan eindelijk zover.