De authenticatie voor Exchange Online kunnen we onderverdelen in twee vormen, namelijk Basic Authentication en Modern Authentication. In deze blog wil ik jullie informeren over de verschillen tussen deze twee authenticatievormen, evenals de nadelen van Basic Authentication.
Eén van de meest voorkomende aanvallen op een mailbox wordt gepleegd middels een zogenaamde brute-force attack. Hierbij maakt de hacker gebruik van software die willekeurig wachtwoorden blijft proberen, totdat deze uiteindelijk het juiste wachtwoord heeft gevonden en kan inloggen. De oplossing om dit soort aanvallen te voorkomen is heel eenvoudig: Multi-Factor Authentication. Hierbij komen we direct bij het grootste probleem van Basic Authentication. Deze ondersteunt namelijk geen Multi-Factor Authentication!
Microsoft ziet zelf ook de gevaren die Basic Authentication met zich meebrengt. Hierdoor waren zij voornemens om Basic Authentication vanaf oktober 2020 voor iedereen uit te schakelen. Vanwege het coronavirus is dit echter uitgesteld tot de tweede helft van 2021. Ik zou iedereen echter willen adviseren om hier vooral niet op te wachten, maar om zelf in actie te komen. Een Exchange Online omgeving met Basic Authentication ingeschakeld is immers een groot beveiligingsrisico.
Het verschil
Het verschil tussen Basic en Modern Authentication kan men terugzien bij de login prompts, zoals hieronder wordt weergegeven.
Het volledig overstappen naar Modern Authentication en het blokkeren van Basic Authentication is een flinke verbetering op het gebied van informatiebeveiliging. Modern Authentication is immers niet vatbaar voor een groot aantal aanvallen en exploits die wel effectief zijn bij Basic Authentication.
Zo worden bijvoorbeeld bij Modern Authentication geen logingegevens opgeslagen op de computer van de eindgebruiker. Daarnaast is het mogelijk om gebruik te maken van Multi-Factor Authenticatie bij Modern Authentication. Microsoft claimt dat bij het gebruik van Multi-Factor Authentication 99,9% van de aanvallen op jouw account hierdoor spaak zullen lopen.
Wat is de impact?
Hopelijk voelt eenieder ondertussen de behoefte om Basic Authentication uit te schakelen op zijn/haar Exchange Online omgeving. Maar wat is nu eigenlijk de impact van deze change?
Helaas bestaan er applicaties die gebruik maken van Basic Authentication en geen ondersteuning bieden voor Modern Authentication. Mijn advies: neem afscheid van deze applicaties of, indien beschikbaar, update ze zodat ze wel hiermee overweg kunnen. Hieronder volgt een kleine opsomming van veel gebruikte applicaties die standaard geen ondersteuning bieden voor Modern Authentication.
- Microsoft Outlook 2013 of ouder
- iPhone mail app vóór iOS versie 11
- Apple mail app vóór macOS versie 10.14
- Android/Google mail app (verschilt per versie/telefoon)
- Maatwerk applicaties
Mijn advies is om op je werkstation gebruik te maken van Microsoft Office via Microsoft 365. Voor smartphones raad ik de Microsoft Outlook app aan. Deze ondersteunen uiteraard wél Modern Authentication.
Conclusie
Het uitschakelen van Basic Authentication binnen de Exchange Online omgeving is geen keuze meer. Als jij het niet op voorhand zelf doet, dan doet Microsoft het ergens in 2021 voor je. Mijn advies is om niet op Microsoft te wachten, maar om een proactieve houding aan te nemen en je informatiebeveiliging serieus te nemen. E-mail is immers nog altijd het meest gebruikte communicatiemiddel binnen het hedendaagse bedrijfsleven.
Ik adviseer alle organisaties om onderstaande stappen in volgorde uit te (laten) voeren:
- Inventarisatie gebruik Basic Authentication binnen de Microsoft 365 omgeving (kan middels Azure zichtbaar worden gemaakt)
- Alle Basic Authentication applicaties vervangen of upgraden zodat deze compatibel zijn met Modern Authentication
- Inschakelen Modern Authentication
- Uitfaseren Basic Authentication (gefaseerd of big-bang, afhankelijk van de grootte van de organisatie)
- Uitrollen van Multi-Factor Authentication binnen de organisatie