微软宣布,从2022年10月1日起,将关闭所有租户的基本身份验证,以提高ExchangeOnline的安全性。2021年2月25日,微软将租户正在使用的协议推迟到下半年禁用基本身份验证,但继续为未使用的协议禁用基本身份验证。“今天,我们宣布自2022年10月1日起,我们将永久关闭所有租户的基本身份验证,无论其使用情况如何(SMTP身份验证除外,此后仍可重新启用),”ExchangeOnline团队本周表示。据悉,今年6月,微软已经开始为未使用的租户禁用基本身份验证,并向受影响的用户解释如何重新启用其协议。微软两年前透露,现代身份验证将在ExchangeOnline租户之间强制执行,禁用基本身份验证并使用MFA进行现代身份验证是当务之急。此更改仅影响ExchangeOnline,不会更改ExchangeServer本地产品中的任何内容。为什么禁用基本身份验证?虽然微软没有具体说明它决定在本周发布这一声明的确切原因,但据推测,原因可能是网络安全公司Guardicore的一份报告披露了数十万个Windows域凭据。Guardicore副总裁AmitSerper还披露了一种被称为“Theol”switcheroo的攻击,该攻击涉及向客户端发送请求以降级为较弱的身份验证方案(即HTTPBasicAuth),而不是OAuth或NTLM之类的安全方法通知电子邮件应用程序该域凭据已以明文形式发送。虽然它大大简化了身份验证过程,但基本身份验证还使攻击者在连接未使用传输层安全性(TLS)加密保护时更容易窃取凭据。更糟糕的是,使用基本身份验证时启用多重身份验证(MFA)并不容易;因此,通常根本不使用它。现代身份验证(ActiveDirectory身份验证库(ADAL)和OAuth2.0基于令牌的身份验证)允许应用程序在有限的生命周期内使用OAuth访问权限,并且不能重复用于为身份验证提供的资源以外的资源。启用新式身份验证后,启用和强制执行MFA变得更加简单,直接且快速地提高了ExchangeOnline中的数据安全性。
