微软将于2022年10月正式弃用Exchange Online基本身份验证

安全
微软宣布,从2022 年10月1 日起,将关闭所有租户的基本身份验证,以提高Exchange Online 的安全性。

[[426483]]

微软宣布,从2022 年10月1 日起,将关闭所有租户的基本身份验证,以提高Exchange Online 的安全性。2021 年2月25日,微软曾推迟租户正在使用的协议,并将禁用基本身份验证至下半年,但继续对未使用的协议禁用基本身份验证。

Exchange Online 团队本周表示“今天,我们宣布,自 2022 年 10 月 1 日起,我们将永久关闭所有租户的基本身份验证,无论使用情况如何(SMTP 身份验证除外,此后仍可重新启用)。”

据悉,今年6月微软已经开始为未使用的租户禁用基本身份验证 ,并向受到影响的用户解释了如何重新启用其协议。微软在两年前透露现代身份验证将跨 Exchange Online 租户强制执行,而禁用基本身份验证,并使用 MFA 进行现代身份验证是当务之急。此更改仅影响 Exchange Online,并不会更改 Exchange Server 本地产品中的任何内容。

为什么基本身份验证被禁用?

虽然微软没有具体说明本周决定发布此公告的具体原因,但据推测原因可能是因为一份来自网络安全公司Guardicore的报告,该报告揭示了数十万个 Windows 域凭证泄露。Guardicore 副总裁 Amit Serper 还披露了一种名为“The ol” switcheroo 的攻击,包括向客户端发送请求以降级到较弱的身份验证方案(即HTTP 基本身份验证),而不是像 OAuth 或 NTLM 这样的安全方法,提示电子邮件应用程序已明文形式发送域凭据。

虽然它极大地简化了身份验证过程,但基本身份验证还使攻击者在未使用传输层安全 (TLS) 加密协议保护连接时更容易窃取凭据。更糟糕的是,在使用基本身份验证时启用多因素身份验证 (MFA) 并不容易;因此,通常它根本不被使用。

现代身份验证(Active Directory 身份验证库 (ADAL) 和基于 OAuth 2.0 令牌的身份验证)允许应用程序使用 OAuth 访问的生命周期是有限的,并且不能重复用于为其提供的资源之外的其他资源进行身份验证。

开启现代身份验证后,启用和强制执行 MFA 将变得更加简单,直接快速是提高 Exchange Online 中的数据安全性。

责任编辑:赵宁宁 来源: 新浪科技
相关推荐

2022-05-31 09:42:12

微软身份验证

2022-09-30 06:30:32

微软Microsoft

2023-10-17 15:17:04

2011-06-15 16:43:31

PHPIIS7

2016-08-12 09:56:07

2009-07-08 09:28:26

Silverlight

2010-09-06 11:24:47

CHAP验证PPP身份验证

2013-05-02 16:31:12

双因素身份验证微软

2021-11-09 11:57:38

微软.NET 5版本

2012-01-13 10:20:32

Windows 8微软

2012-04-10 09:36:58

2012-10-10 09:35:27

2013-07-21 18:32:13

iOS开发ASIHTTPRequ

2011-02-21 10:54:45

2012-12-18 10:06:19

2022-02-16 08:31:27

网络安全身份验证

2013-08-15 10:01:13

Windows 8.1微软

2010-11-30 15:31:38

SharePoint Kerberos

2010-07-17 00:57:52

Telnet身份验证

2023-10-12 08:32:39

Windows微软
点赞
收藏

51CTO技术栈公众号