Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Exchange Online: Microsoft wird Standardauthentifizierung permanent sperren

Kunden, die noch auf Basic Auth in Exchange setzen, werden das ab Oktober 2022 nicht mehr tun können. Microsoft macht hier keine Ausnahmen.
/ Oliver Nickel
18 Kommentare News folgen (öffnet im neuen Fenster)
Basic Auth wird in Exchange Online abgeschaltet. (Bild: Microsoft/Montage: Golem.de)
Basic Auth wird in Exchange Online abgeschaltet. Bild: Microsoft/Montage: Golem.de

Microsoft selbst bestätigt, dass die Standardauthentifizierung Basic Auth für Exchange Online unsicher ist. Die Standardauthentifizierung definiert die einfache Anmeldung mittels Username und Passwort. Diese Informationen werden direkt und immer an Exchange Online zur Prüfung gesendet. Da dies für Brute-Force- oder Kennwort-Spray-Angriffe anfällig ist, wird der Modus für alle User komplett deaktiviert. Ab dem 1. Oktober 2022(öffnet im neuen Fenster) kann er nicht mehr genutzt werden.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Systemadministrator*in Datensicherung (m/w/div) Deutsche Rentenversicherung Bund, Würzburg,Berlin (öffnet im neuen Fenster)
Prozessexperte SAP VIM - Rechnungswesen / Buchhaltung (all genders) Fraunhofer-Gesellschaft e.V., München (öffnet im neuen Fenster)
Duales Studium BWL - Digital Commerce Management 2026 (m/w/d) Schwarz Corporate Solutions, Neckarsulm (öffnet im neuen Fenster)
Elektroingenieur (m/w/d) Kommunikationstechnik BAADER, Lübeck (öffnet im neuen Fenster)
Sachbearbeiter/-in (w/m/d) für IT-Angelegenheiten allgemeine Verwaltungsangelegenheiten Deutsche Richterakademie, Trier (öffnet im neuen Fenster)
IT-Projektleiter (m/w/d) Robert-Bosch-Krankenhaus GmbH, Stuttgart (öffnet im neuen Fenster)
Consultant (m/w/d) im Bereich Informationssicherheit / Cyber-Security BBH Consulting AG, München (öffnet im neuen Fenster)
Softwareentwickler / KI-Entwickler (m/w/d) Science Media Center Germany gGmbH, Köln (öffnet im neuen Fenster)

Modern Auth(öffnet im neuen Fenster) ersetzt die alte Methode und führt ein Token-System ein, der per evoSTS (ein von Azure verwalteter Dienst) durchgeführt wird. Dadurch werden Methoden wie Zweifaktor-Authentifizierungen freigeschaltet.

"Basic Auth ist nach wie vor eine, wenn nicht sogar die häufigste Art, wie unsere Kunden kompromittiert werden, und diese Arten von Angriffen nehmen zu" , schreibt Microsoft in einem Blog-Post(öffnet im neuen Fenster) . Deshalb hat Microsoft initiativ bereits Basic Auth bei Kunden abgeschaltet, die das System sowieso nicht verwenden und stattdessen etwa auf eine Zweifaktor-Authentifizierung setzen.

Es gibt kein Zurück für Kunden

Microsoft macht noch einmal klar: Am 1. Oktober dieses Jahres wird Microsoft erst beginnen, einzelne Mandanten zu bearbeiten. Es ist daher gut möglich, dass diverse Kunden noch einige Zeit später ihre mittels Standardauthentifizierung gesicherten Systeme nutzen können. "Wir wählen Mandanten nach dem Zufallsprinzip aus, senden Warnmeldungen sieben Tage im Voraus im Message Center (und posten Service-Health-Dashboard-Benachrichtigungen) und deaktivieren dann Basic Auth" , schreibt das Unternehmen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Es wird für diesen Prozess keine Ausnahme geben und Kunden können nicht auf Anfrage etwa an das Ende der Warteschlange gesetzt werden und so mehr Zeit für eine Umstellung bekommen. Sie sollten daher rechtzeitig ihre Systeme umstellen oder Gruppenrichtlinien einführen. Microsoft gibt dazu einige sinnvolle Schritte bekannt.

Zur Startseite 18 Kommentare

Relevante Themen

SoftwareToolsUnternehmenssoftwareSecurityVerschlüsselungDatensicherheitPasswortE-Mail