Exchange online: Basic Auth wird eingestellt

Ab 01. Oktober 2022 beginnt Microsoft damit, die sogenannte Basic Authentication – Authentifizierung an online abzuschalten. Damit ist der Zugang zu dem Online-Dienst mit alten, nicht mehr unterstützten Outlook Programmen nicht mehr möglich. Neuere Outlook Versionen bzw. Outlook aus dem Plan sollten durch den Administrator umgestellt werden, dass sie nur noch das neue Verfahren zulassen (Gruppenrichtlinie).

Im Zuge der Analyse stellen wir immer wieder fest, dass mit zu trivialen und nicht geheimen Kennwörtern der Zugang zu den Mailboxen ermöglicht wird. Ist Ihr Unternehmen (aka. Microsoft Tenant) mit Microsoft 365 Business Premium oder E3-Plänen ausgestattet und Ihr Exchange online verfügt über das Sicherheitspaket, können Sie die sogenannte Zweifaktor-Authentifizierung (2FA) einrichten (lassen) und für mobile Mitarbeitende zur Pflicht machen. Auf dem Smartphone des Mitarbeitenden ist dann die Microsoft Authenticator-App installiert, die eine sichere Anmeldung am Microsoft Arbeitskonto ermöglicht. Für administrative Accounts sehe ich die Nutzung von 2FA als unbedingt notwendig, für die Benutzer ist sie zumutbar und bringt ein deutlich höheres Level an Sicherheit.

Zusätzlich sollte (obwohl keine regelmäßige Änderung von Kennworten vorgeschrieben noch sinnvoll ist), EINMAL eine Grundsicherheit der Kennwörter hergestellt werden, um Datenverlust, Hackbarkeit, Verstöße gegen die DSGVO und sogar strafrechtliche Konsequenzen zu vermeiden.

Microsoft wird die Basic Authentication mit einem Sicherheitsupdate auch für die On-Premises Exchange Server entfernen. Wenn Sie den Exchange-Server noch im Hause betreiben, ist der Umstieg in die Online-Variante bereits jetzt umso sinnvoller.

Artikel zur Abkündigung der Basic Authentication (englisch)

Microsoft

Verwandte Beiträge
Kategoriebild

vmware aktuell haltenAngesichts der aktuellen Angriffs-Serie fokussieren sich Cyberkriminelle auf ungepatchte Browseroberflächen in der VCenter Oberfläche von vmware-Versionen, die Weboberfläche von ESX(i)-Server

Über den Autor:

Patrick Bärenfänger ist TÜV-zertifizierter IT-Security Manager und -Auditor und seit über 32 Jahren in der IT-Branche. Seine Schwerpunkte sind die Ausbildung/Zertifizierung von Systemkoordinatoren, Lizenz-Audits und IT-Systemprüfungen nach BSI-Grundschutz-Katalogen und IDW PS 330 und die Intrastruktur-Analyse und -Optimierung.

Kommentare

1 Gedanke zu „Exchange online: Basic Auth wird eingestellt

  1. Exchange online: Basic Auth wird eingestellt

    Danke für den Hinweis.
    Als Ergänzung für den Beitrag, betrifft auch die Apple-Geräte (iOS), dort ist auch die Basic-Auth hinterlegt, falls noch nicht auf die „moderne Authentifizierung“ umgestellt wurde.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert