Najavljeno još 2019., od početka idućeg mjeseca dolazi i u praksu – ukidanje osnovne autentifikacije za Microsoftov Exchange Online.

Uklanja se mogućnost korištenja osnovne provjere autentičnosti u Exchange Online za Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook za Windows i Mac.
 

Što to znači?

To znači da nekoć standardna praksa unošenja korisničkog imena i lozinke u današnjem svijetu povećanih sigurnosnih izazova više nije dovoljna. Iz Microsofta kažu da su se prijetnje samo povećale otkako je ukidanje ove vrste autentifikacije prvobitno najavljeno, te da postoje bolje i učinkovitije alternative za autentifikaciju korisnika.

Za korisnika to označava migraciju s aplikacija koje koriste osnovnu autentifikaciju na aplikacije koje koriste modernu autentifikaciju (OAuth 2.0 token). Ovakav oblik autentifikacije ima mnoštvo prednosti, među kojima je najznačajnije upravo povećanje razine sigurnosti.
 

Kako prepoznati koristi li aplikacija osnovnu ili modernu autentifikaciju?

Najjednostavniji način uočavanja o kojem se načinu autentifikacije radi jest proučavanjem prijavnog prozora koji se prikaže pred Vama.

Microsoftov prijelaz s osnovne autentifikacije na modernu autentifikaciju. Osnovna autentifikacija, kao što samo ime kaže, je način provjere autentičnosti unosom korisničkog imena i lozinke nakon čijeg se uspješnog unošenja korisniku omogućava pristup resursima za koje je autoriziran. Ovo ga čini jednostavnim za korištenje, ali isto tako i vrlo lakim za probiti. Mogućnost memoriranja lozinki u pregledniku predstavlja još jednu dodatnu točku ranjivosti.

Za razliku od toga, moderna autentifikacija predstavlja protokol autentifikacije i autorizacije dizajniran za upravljanje u današnjem svijetu. Ovaj protokol omogućuje administratoru da definira pravila za:

  • autentifikaciju – proces prijave u sustav.
  • autorizaciju – mehanizam kojim se osigurava da svaki prijavljeni korisnik nema „po defaultu“ pristup svim podacima u sustavu.
  • Postavljanje politike uvjetnog pristupa (Conditional access) – postavljanje if-then aktivnosti za pristup podacima. Primjerice – Ako voditelj obračuna plaća želi pristupiti aplikaciji za obračun plaća mora izvršiti višefaktorsku autentifikaciju kako bi potvrdio identitet i pristupio podacima.

Osim višefaktorskom autentifikacijom, pristup možete omogućiti korištenjem pametne kartice, autentifikacijom na temelju certifikata i sl.

Mogućnost postavljanja ovih pravila jedna je od ključnih prednosti moderne autentifikacije.
 

Kako moderna autentifikacija funkcionira?

Moderna se autentifikacija temelji na tokenu kako bi se omogućilo sigurnije iskustvo prijave. Iako korisničko ime i lozinka više nisu glavni izvor autentifikacije, bit će i dalje potrebni kako bi se proizveo pristupni token. Da bi se spriječio neautorizirani ulaz, korišteni tokeni imaju kratak rok trajanja – najčešće nekoliko sekundi ili minuta.

Proces prijave korištenjem moderne autentifikacije izgleda ovako:

Grafika - kako funkcionira višefaktorska autentifikacija

  1. Korisnik traži autorizaciju od vlasnika resursa.
  2. Korisnik dobiva odobrenje za autorizaciju.
  3. Korisnik traži pristupni token.
  4. Autorizacijski server provjerava odobrenje autorizacije i, ako je valjano, izdaje pristupni token.
  5. Korisnik traži pristup podacima na serveru i autentificira se predstavljanjem pristupnog tokena.
  6. Server provjerava pristupni token i, ako je valjan, omogućuje pristup.

 

Zašto je uvođenje moderne autentifikacije bitno?

Microsoftovo istraživanje pokazalo je da se 99% kibernetičkih napada u kojima napadač koristi nelegalno pribavljenu lozinku dogodilo pri korištenju osnovne autentifikacije. Korisnici koji su onemogućili osnovnu autentifikaciju doživjeli su 67% manje kompromisa.

Uvođenjem moderne autentifikacije povećavate svoju sigurnost, izbacujući zastarjeli način provjere identiteta. Osim direktnog povećanja sigurnosti korištenjem pristupnih tokena omogućujete administratorima konfiguriranje svih pravila za pristup podacima nakon prijave.

Imajte na umu da će se 1.10. izvršiti migracija svih korisnika na modernu autentifikaciju ukidanjem osnovne autentifikacije. Ne čekajte taj dan i „prisilnu“ migraciju svih Microsoftovih korisnika. Izbjegnite probleme koji se mogu pojaviti prvih nekoliko dana tako velikog pothvata. Osigurajte si već danas nesmetan prijelaz na modernu autentifikaciju na jedan od sljedećih načina:

  • Ako ste FixIT korisnik javite se na podrška@ventex.hr kako bismo Vam pomogli osigurati pravovremeni prijelaz.
  • Ako niste, korake za prebacivanje pronađite u Microsoftovim uputstvima.