В то время он был признан небезопасным по своей сути, поскольку имя пользователя и пароль отправляются открытым текстом, и авторы указали на необходимость дополнительной безопасности.
Со временем последующие RFC улучшили безопасность стандарта — в первую очередь за счет шифрования обмена учетными данными — но по своей сути базовую аутентификацию все еще можно рассматривать как аутентификацию с использованием только имени пользователя и пароля.
Итак… Базовая аутентификация существует уже более 25 лет. Учитывая текущее состояние угроз кибербезопасности, его дальнейшее использование почти бессовестно.
|
“);
|
Корпорация Майкрософт признала высокий риск, связанный с этим устаревшим подходом к проверке подлинности, и настаивала на переходе на более безопасную форму современной проверки подлинности.
Есть только два исключения. Обычная проверка подлинности по-прежнему будет поддерживаться в локальных продуктах Exchange Server, а также для SMTP-AUTH в Exchange Online. Последнее предназначено для поддержки многофункциональных устройств, таких как устройства и сканеры, которые нельзя обновить для использования современной аутентификации.
Тем не менее, Microsoft призывает клиентов по возможности отказаться от использования обычной аутентификации с SMTP-AUTH.
За этими немногими исключениями, 31 декабря 2022 года базовая аутентификация была отключена навсегда, что распространяется и на проекты миграции. На наш взгляд, это хорошо.
Современная проверка подлинности, реализованная корпорацией Майкрософт, более безопасна и обеспечивает лучший пользовательский интерфейс, учитывая распределенный, федеративный характер современного веб-интерфейса.
Несмотря на то, что в качестве первой линии установления личности по-прежнему требуются имена пользователей и пароли, современная аутентификация сводит к минимуму количество обменов этими учетными данными или их хранения на отдельных серверах.
Замена имени пользователя и паролей токенами — пакетами информации, которыми могут обмениваться и проверять стороны транзакции, — это гораздо более безопасный способ подтверждения личности пользователя при подтверждении того, что ему разрешен доступ к приложениям и ресурсам.
Пользователи получают возможность единого входа при доступе к нескольким связанным ресурсам — опыт, который они, естественно, ожидают.
Современная аутентификация поддерживает дополнительные, расширенные методы подтверждения личности пользователя, особенно при доступе из местоположений или устройств, которые являются новыми для этого пользователя, что делает его жизненно важным инструментом для защиты от фишинговых атак, которые могут привести к захвату учетной записи, компрометации корпоративной электронной почты и атакам программ-вымогателей. .
Современная проверка подлинности в Exchange Online, реализованная Microsoft, основана на трех основных компонентах: библиотеке проверки подлинности Active Directory (ADAL), OAuth 2.0 и ID Connect.
Он использует ADAL, чтобы приложения могли поддерживать различные возможности входа, включая проверку подлинности на основе смарт-карты и сертификата. В частности, он поддерживает двухфакторную/многофакторную аутентификацию (2FA/MFA), что позволяет использовать дополнительные факторы аутентификации для дальнейшего установления личности пользователя.
Дополнительные факторы могут включать наличие устройства, такого как смартфон, или биометрические факторы, такие как отпечаток пальца или распознавание лица. После аутентификации пользователя ADAL получает токены для защиты вызовов API от имени пользователя.
Вся поддержка и разработка Microsoft для ADAL, включая исправления безопасности, прекратятся в июне 2023 года в пользу обновленной версии, которая теперь называется Microsoft Authentication Library (MSAL); ADAL в существующих операционных системах продолжит работать, хотя, по словам Microsoft, ADAL будет становиться все более уязвимым для новых моделей атак.
OAuth 2.0 — это стандартный отраслевой протокол для авторизации; обратите внимание, что «Auth» означает авторизацию, а не аутентификацию. Его основная роль — разрешить приложениям обмениваться данными друг с другом от имени пользователя, используя обмен токенами, чтобы избежать повторной отправки учетных данных имени пользователя и пароля.
Маркеры доступа относятся к приложениям и ресурсам, для которых они выдаются, и имеют ограниченный срок действия, что предотвращает их повторное использование.
С точки зрения пользователя, использование токенов доступа и обновления в OAuth 2.0 сокращает количество раз, когда пользователям предлагается повторно пройти аутентификацию с использованием своих основных учетных данных и выполнить 2FA/MFA.
В то время как ADAL фокусируется на проверке подлинности, а OAuth 2.0 — на авторизации, по мере того как приложения продолжали обмениваться данными и информацией об учетных записях между собой, потребность в стандартной структуре для единого входа стала очевидной.
Open ID Connect — это уровень аутентификации, созданный поверх OAuth 2.0. Он обеспечивает выдачу токена доступа вместе с токеном ID для подтверждения личности пользователя. Маркер идентификатора содержит информацию о аутентифицированном пользователе и снабжен цифровой подписью поставщика удостоверений.
Затем принимающее приложение может проверить допустимость токена идентификатора, используя открытый ключ поставщика удостоверений, чтобы подтвердить, что информация об удостоверении не была подделана.
Нулевое доверие
Современная аутентификация становится ключевым элементом безопасности с нулевым доверием. Нулевое доверие — это подход, в котором применяется набор принципов безопасности. Цель состоит в том, чтобы позволить пользователям получать доступ только к тому, что им нужно, без ущерба для безопасности, но при этом сделать этот доступ удобным для пользователя.
В основе нулевого доверия лежит принцип «никогда не доверяй, всегда проверяй», независимо от того, откуда исходит запрос или к каким ресурсам он обращается. Федеративная модель современной аутентификации обеспечивает идеальную основу для реализации модели безопасности с нулевым доверием.
Мы понимаем, что другие доступные инструменты миграции используют медленный подход к поддержке современной аутентификации. За исключением временного использования Coexistence и Hybrid Exchange, приложение для миграции моей компании теперь полностью поддерживает современную аутентификацию, в частности, на конечных точках, участвующих в миграции почтовых ящиков.
Это делает организации более безопасными, а также безопасными их миграции.
У технических специалистов могут возникнуть следующие вопросы о настройке и использовании приложения качественной миграции для переноса почтовых ящиков, документов и рабочих нагрузок в соответствии с новыми требованиями современной проверки подлинности.
Как пользователи включают современную аутентификацию?
Подводя итог, зарегистрируйте веб-службы Exchange с помощью делегированного приложения в клиенте, а затем укажите идентификатор клиента и идентификатор клиента при регистрации приложения, которые будут использоваться при проверке подлинности в клиенте Exchange Online.
Хотя мы понимаем, что некоторые другие доступные инструменты миграции используют медленный подход к поддержке современной аутентификации. За временным исключением Coexistence и Hybrid Exchange, наше собственное приложение для миграции теперь полностью поддерживает Modern Auth, в частности, на конечных точках, участвующих в миграции почтовых ящиков.
Современная аутентификация делает организации более безопасными, а их миграцию — более безопасной.
Читать полную новость на сайте
