Microsoft e Google adiaram a remoção da autenticação básica e insegura

Por conta da crise do COVID-19, a Microsoft e Google adiaram a remoção da autenticação básica e insegura. Veja como ficará essa importante medida com essa decisão.

Autenticação básica (também conhecida como autenticação por proxy ou autenticação herdada) é o processo pelo qual aplicativos móveis e de mesa enviam pares de nome de usuário/senha em cada solicitação feita ao conectar-se a servidores, terminais ou serviços online, com as credenciais dos usuários sendo frequentemente armazenadas localmente em seu dispositivo.

Microsoft e Google adiaram a remoção da autenticação básica e insegura

Embora simplifique bastante o processo de autenticação, a Autenticação Básica facilita muito o roubo de credenciais por invasores, especialmente quando eles são enviados por canais não criptografados e, pior ainda, onde estão ativados, “autenticação multifatorial (MFA) não é fácil de ativar quando você está usando a autenticação básica e, com frequência, ela não é usada”.

Desabilitando a Autenticação Básica e permitindo apenas a Autenticação Moderna no Exchange Online ao mesmo tempo, a Microsoft está tentando mitigar todos esses problemas de segurança.

A Microsoft diz que a remoção da autenticação básica do Exchange Online está sendo adiada para a segunda metade de 2021 devido à situação atual criada pela pandemia de COVID-19.

Microsoft e Google adiaram a remoção da autenticação básica e insegura

A equipe do Microsoft Exchange anunciou que:

“Em resposta à crise do COVID-19 e sabendo que as prioridades mudaram para muitos de nossos clientes, decidimos adiar a desativação da Autenticação Básica no Exchange Online para os inquilinos que ainda a usam ativamente até a segunda metade de 2021.”

No entanto, a partir de outubro de 2020, a Microsoft ainda desativará automaticamente a Autenticação Básica para todos os inquilinos recém-criados e naqueles em que não for usado ativamente.

A Microsoft afirmou que:

“Também continuaremos a concluir o lançamento do suporte do OAuth para POP, IMAP, SMTP AUTH e PowerShell remoto e continuaremos a melhorar nossos recursos de relatório.”

“Ainda pretendemos afastar nossos clientes da autenticação básica, pois acreditamos fortemente que melhorar a segurança no Exchange Online beneficia a todos nós, e anunciaremos cronogramas mais precisos para desativar a autenticação básica para inquilinos com uso posteriormente.”

A Microsoft anunciou anteriormente que a Autenticação Básica será desativada no Exchange Online para Exchange ActiveSync (EAS), POP, IMAP e Remote PowerShell a partir de 13 de outubro de 2020.

Esse anúncio ocorreu depois do anúncio anterior, realizado em julho de 2018, sobre os planos de Redmond de parar de dar suporte e descomissionar totalmente a API de Autenticação Básica na API do Exchange Web Services (EWS) para Office 365.

A Microsoft recomenda ativar a autenticação moderna

A autenticação moderna, na verdade a autenticação baseada em token da Biblioteca de Autenticação do Active Directory (ADAL) e OAuth 2.0, permite que os aplicativos usem tokens de acesso do OAuth que possuem vida útil limitada e bloqueiam sua reutilização em outros recursos.

Depois que a autenticação moderna é ativada, ativar e aplicar o MFA também fica muito mais simples, com a segurança aprimorada dos dados no Exchange Online sendo o resultado imediato.

Uma demonstração em vídeo sobre as etapas necessárias para adicionar o MFA às caixas de correio do Exchange Online/local é incorporada abaixo.

Para desabilitar a autenticação básica do Exchange Online antes do horário de encerramento, você deve criar e atribuir políticas de autenticação a usuários individuais, seguindo o procedimento detalhado no site de suporte do Microsoft Exchange Online.

Um documento sobre como habilitar a autenticação moderna no Exchange Online também diz que, no momento, “a autenticação moderna é habilitada por padrão no Exchange Online, no Skype for Business Online e no SharePoint Online”.

A Microsoft que:

“Desabilitar a autenticação básica e exigir autenticação moderna com o MFA é uma das melhores coisas que você pode fazer para melhorar a segurança dos dados do seu inquilino, e isso deve ser uma coisa boa.”

“A última coisa a esclarecer: essa alteração afeta apenas o Exchange Online, não estamos alterando nada nos produtos locais do Exchange Server.”

O Google também atrasou a desativação da autenticação herdada do G Suite

Embora o Google também tenha anunciado em dezembro de 2019 que impedirá que aplicativos menos seguros (LSAs) acessem os dados das contas do G Suite a partir de fevereiro de 2021, a empresa agora diz que o desligamento do LSA é suspenso até novo aviso.

Essa decisão ocorreu após a remoção da configuração “Impor acesso a aplicativos menos seguros para todos os usuários” do console do Google para administradores em outubro de 2019.

Em 30 de março, o Google afirmou que:

“Como muitas organizações lidam com o impacto do COVID-19 e agora estão focadas no suporte a uma força de trabalho remota, queremos minimizar possíveis interrupções para clientes que não conseguem concluir as migrações nesse período.”

“Como resultado, estamos suspendendo a desativação do LSA até novo aviso. Todos os prazos anunciados anteriormente não se aplicam mais.”

Os LSAs também usam o que a Microsoft descreve como Autenticação Básica e são aplicativos que não são do Google que acessam contas do Google usando pares de nome de usuário/senha, expondo os usuários que os usam para ataques de sequestro de contas.

O Google anteriormente planejava bloquear completamente o acesso dos LSAs a todas as contas do G Suite e aconselhou os desenvolvedores a atualizar todos os seus aplicativos para usar o OAuth 2.0 para manter a compatibilidade da conta do G Suite.

O Google também aconselha os usuários a migrar para aplicativos que oferecem suporte ao OAuth, pois protege suas contas de ataques de sequestro.

O que está sendo falado no blog

Post Views: 301

Sair da versão mobile