Fort Lox

Stopzetting Basic Authentication in

Exchange Online

Vanaf 1 oktober heeft Microsoft Basic Authentication uitgeschakeld voor Exchange Online. Bij aanmeldingen met Basic Authentication verzenden applicaties gebruikersnaam en wachtwoord naar de server voor aanmeldingen en deze worden vaak ook opgeslagen op toestellen. Dit maakt het gemakkelijker voor kwaadwillige personen om aanmeldgegevens te onderscheppen, vooral als deze ook niet versleuteld zijn. Het is ook moeilijk of zelfs niet mogelijk hieraan Multi-Factor Authenticatie (MFA) te koppelen, dus deze protocollen werden vaak gebruikt om MFA te omzeilen.

Alle apps moeten dus overschakelen naar Modern Authentication, dat token-based werkt en een stuk veiliger is.

Wat

Vanaf 1 oktober heeft Microsoft Basic Authentication uitgeschakeld voor Exchange Online. Bij

aanmeldingen met Basic Authentication verzenden applicaties gebruikersnaam en wachtwoord naar

de server voor aanmeldingen en deze worden vaak ook opgeslagen op toestellen. Dit maakt het

gemakkelijker voor kwaadwillige personen om aanmeldgegevens te onderscheppen, vooral als deze

ook niet versleuteld zijn. Het is ook moeilijk of zelfs niet mogelijk hieraan Multi-Factor Authenticatie

(MFA) te koppelen, dus deze protocollen werden vaak gebruikt om MFA te omzeilen.

Alle apps moeten dus overschakelen naar Modern Authentication, dat token-based werkt en een

stuk veiliger is.

Wanneer

Begin 2021 werd Basic Authentication reeds uitgeschakeld in omgevingen waar geen gebruik ervan

gerapporteerd werd. In nieuwe omgevingen werd dit ook standaard uitgeschakeld.

Vanaf 1 oktober wordt dit nu ook voor alle andere omgevingen doorgevoerd. Tijdelijk is de optie nog

beschikbaar om handmatig verouderde protocollen (zoals POP, IMAP, legacy EWS…) terug in te

schakelen, maar vanaf 1 januari 2023 zullen deze definitief terug uitgeschakeld worden. Daarna is er

geen mogelijkheid meer om nog Basic Authentication te gebruiken.

Impact

Verouderde mobiele mail apps (zoals oudere versies van de Apple Mail App, Gmail App of

ingebouwde Android mail apps) zullen geen verbinding meer kunnen maken met de mailserver. We

raden aan hiervoor de Microsoft Outlook app te gebruiken.

Applicaties zoals Microsoft Office 2013 of ouder en andere applicaties die gebruik maken van POP,

IMAP, ondersteunen geen Modern Authentication en zullen dus niet meer gebruikt kunnen worden.

Applicaties die EWS gebruiken, kunnen wel overschakeklen naar Modern Authentication via OAuth

2.0.

Eén enkele uitzondering op de uitfasering is SMTP AUTH (Authenticated SMTP), aangezien heel wat

legacy toestellen hiervan afhankelijk zijn en geen alternatief hebben, zoals printers die scan-to-mail

gebruiken. Let op: in nieuwe omgevingen en omgevingen waar de ‘Security defaults’ actief zijn, staat

dit alsnog uitgeschakeld, dus moet hiervoor een uitzondering toegevoegd worden.

Alhoewel dit in principe nog een mogelijkheid blijft, raden we toch aan dit uitgeschakeld te laten.

Deze authenticatiemethode is namelijk nog steeds een stuk kwetsbaarder dan Modern

Authentication en ondersteunt niet altijd MFA. De kans is ook groot dat Microsoft dit in de komende

jaren ook wil uitfaseren.

Conclusie

Het uitschakelen van Basic Authentication stond al enkele jaren op de agenda van Microsoft, maar

werd enkele keren uitgesteld door corona. Door dit nu wel uit te voeren, staan we security-gewijs

een hele stap verder. Onveilige verouderde protocollen vormen namelijk een aanzienlijk aandeel van

de oorzaken van hacking. Dit is relevant voor heel wat andere platformen, dus niet enkel Exchange

Online. Dit opent ook verder de deur om MFA standaard in te schakelen voor alle gebruikers.

Een team dat werkt als een goed geoliede machine is van cruciaal belang binnen iedere

onderneming. Met die gedachte ging Niels aan het werk om onze volgende teamactiviteit te plannen.

Het is hem dan nog gelukt ook! Wij mochten naar de escape room in Roeselare om te kijken of team

FORT:LOX kan werken als een geoliede machine.

(Door Siebe Verbrugghe)