Microsoft ha ufficialmente annunciato che, a partire dal 1° ottobre, verrà definitivamente ritirata la Basic Authentication: sistema che fino ad oggi molte applicazioni hanno utilizzato per connettersi a server, servizi ed endpoint API.
La Basic Authentication ha rappresentato per anni un sistema molto semplice ed intuitivo, con il quale l’applicazione client passava ad ogni richiesta il nome utente e la password che, in questo modo, venivano spesso archiviate o salvate nel dispositivo.
Tuttavia, nonostante la Basic Authentication risulti più facile da configurare, la semplicità può talvolta rappresentare non soltanto un aspetto positivo, ma celare anche dei rischi per la nostra sicurezza. In questo caso, nello specifico, la Basic Authentication rende infatti più semplice il furto delle credenziali, aumentando il rischio che possano essere rubate e riutilizzate per accedere da utenti malintenzionati attraverso altri endpoint o servizi. Sistemi differenti come l ‘applicazione dell’autenticazione a più fattori (MFA), inoltre, non sono così semplici da applicare, ed in alcuni casi è possibile che l’autenticazione di base rimanga abilitata.
Ma che cosa ha deciso di fare Microsoft?
Dal 1° ottobre, la Modern Authentication diventerà obbligatoria, facendo definitivamente decadere la precedente modalità, e sarà in grado di garantire un livello di sicurezza qualitativamente migliore. L’azienda della Silicon Valley sta già rimuovendo la possibilità di usare l’autenticazione di base in Exchange Online per Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook per Windows e Mac. E inoltre, sta anche disabilitando SMTP AUTH in tutti i tenant in cui non viene usato.
Il processo di disabilitazione partito già ad inizio 2021 nei tenant Microsoft 365, dal mese prossimo raggiungerà quasi tutti gli utenti, imponendo dunque la necessità di passare alla più sicura Modern Authentication.
Tra il 1° ottobre e il 31 dicembre 2022 i tenant di Microsoft 365 potranno riabilitare, per una volta sola, la Basic Authentication. Eventuali eccezioni verranno disattivate all’inizio di gennaio 2023, senza possibilità di ulteriore utilizzo, e le applicazioni che utilizzano ancora la Basic Authentication con servizi Microsoft smetteranno di funzionare. Microsoft Outlook 2013 e precedenti, applicativi che parlano in POP, SMTP o IMAP che utilizzano autenticazione “plain”, oggetti come stampanti o gateway che si autenticano direttamente in Microsoft 365 con autenticazione Basic non saranno più funzionanti.
Non resta dunque che aggiornare gli applicativi il prima possibile, passando alla più sicura Modern Authentication (OAUTH), o per eventuali problemi e consulenze contattarci.