Exchange Online: Microsoft wird Standardauthentifizierung permanent sperren

Microsoft selbst bestätigt, dass die Standardauthentifizierung Basic Auth für Exchange Online unsicher ist. Die Standardauthentifizierung definiert die einfache Anmeldung mittels Username und Passwort. Diese Informationen werden direkt und immer an Exchange Online zur Prüfung gesendet. Da dies für Brute-Force- oder Kennwort-Spray-Angriffe anfällig ist, wird der Modus für alle User komplett deaktiviert. Ab dem 1. Oktober 2022 kann er nicht mehr genutzt werden.

Modern Auth ersetzt die alte Methode und führt ein Token-System ein, der per evoSTS (ein von Azure verwalteter Dienst) durchgeführt wird. Dadurch werden Methoden wie Zweifaktor-Authentifizierungen freigeschaltet.

"Basic Auth ist nach wie vor eine, wenn nicht sogar die häufigste Art, wie unsere Kunden kompromittiert werden, und diese Arten von Angriffen nehmen zu", schreibt Microsoft in einem Blog-Post. Deshalb hat Microsoft initiativ bereits Basic Auth bei Kunden abgeschaltet, die das System sowieso nicht verwenden und stattdessen etwa auf eine Zweifaktor-Authentifizierung setzen.

Es gibt kein Zurück für Kunden

Microsoft macht noch einmal klar: Am 1. Oktober dieses Jahres wird Microsoft erst beginnen, einzelne Mandanten zu bearbeiten. Es ist daher gut möglich, dass diverse Kunden noch einige Zeit später ihre mittels Standardauthentifizierung gesicherten Systeme nutzen können. "Wir wählen Mandanten nach dem Zufallsprinzip aus, senden Warnmeldungen sieben Tage im Voraus im Message Center (und posten Service-Health-Dashboard-Benachrichtigungen) und deaktivieren dann Basic Auth", schreibt das Unternehmen.

Es wird für diesen Prozess keine Ausnahme geben und Kunden können nicht auf Anfrage etwa an das Ende der Warteschlange gesetzt werden und so mehr Zeit für eine Umstellung bekommen. Sie sollten daher rechtzeitig ihre Systeme umstellen oder Gruppenrichtlinien einführen. Microsoft gibt dazu einige sinnvolle Schritte bekannt.