Microsoft, Exchange Online Temel Kimlik Doğrulamasının ( basic auth ) Devre Dışı Bırakılacağı Konusunda Uyardı
Microsoft müşterilerini 1 Ekim 2022’de dünya çapında Temel Kimlik Doğrulamayı devre dışı bırakmaya başlayacağı konusunda birkez daha uyardı. Bu haberi portalımızda daha önce duyurmuş ve yazarlarımızdan Tayfun TEK’in konu ile ilgili “Exchange Online’a Basic Auth ile bağlanma dönemi sona eriyor!” yazısını sizler ile paylaşmıştık.
Microsoft, istemcilerini ve uygulamalarını henüz Modern Kimlik Doğrulamaya taşımamış çok sayıda müşteri olduğunu ve biran önce doğrulama modelini değiştirmeleri konusunda birkez daha uyardı.Modern Kimlik Doğrulama (Active Directory Kimlik Doğrulama ve OAuth 2.0 token tabanlı kimlik doğrulama), sınırlı bir ömre sahip OAuth erişim tokens’ları kullanır; bu tokens verildikleri kaynakların yanı sıra diğer kaynaklarda kimlik doğrulaması yapmak için yeniden kullanılamaz. İşleri daha da kötüleştirmek için, temel auth kullanırken çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek oldukça karmaşıktır ve genellikle hiç kullanılmaz. Modern yetkilendirmeye geçiş yaptıktan sonra, MFA’yı etkinleştirmek ve uygulamak çok daha basit hale geldi ve doğrudan ve anında sonuç olarak Exchange Online’da daha iyi güvenlik sağladı.
Exchange ekibi, “Hatırlatmak gerekirse, Basic Auth, müşterilerimizin güvenliğinin ihlal edilmesinin en yaygın yollarından biri olmasa da hala devam ediyor ve bu tür saldırılar artıyor” dedi. “Basic Auth kullanmayan milyonlarca müşteride devre dışı bıraktık ve şu anda onu kullanan müşteriler içinde kullanılmayan protokolleri devre dışı bırakıyoruz.” dedi. Microsoft artık, MAPI, RPC, Çevrimdışı Adres Defteri (OAB), Exchange Web Hizmetleri (EWS), POP, IMAP ve Uzak PowerShell protokolleri için Basic Auth devre dışı bırakıyor. SMTP AUTH, kullanmayan milyonlarca müşteride zaten devre dışı bıraktı.