Das Ende der Basic-Auth-Welt naht

Gerade hatten wir uns – nach vielen Einschränkungen, die Corona mit sich gebracht hat – wieder langsam an ein normaleres Leben gewöhnt, und nun muss an dieser Stelle bereits das Ende der Welt verkündet werden? Keine Panik, ganz so schlimm kommt es nicht, denn die Rede ist hier lediglich vom Ende der „Basic-Auth-Welt“. Allerdings sollten Sie an dieser Stelle dennoch aufmerksam sein, sodass in Ihrer ebenfalls wichtigen Welt der Unternehmens-IT nichts ins Wanken gerät.

Primär betrifft diese Information alle Benutzer von Microsoft Exchange Online. Denn Microsoft hat offiziell angekündigt, die Basic Authentication, kurz auch Basic Auth oder im deutschen Standardauthentifizierung genannt, ab dem 1. Oktober 2022 abzuschalten.

Basic Auth definiert die einfache Anmeldung mittels Username und Passwort. Dabei werden die Anmeldedaten Base64-kodiert und praktisch im Klartext übertragen. Jedoch werden diese in der Regel heutzutage immer via SSL bzw. TLS verschlüsselt.

Das Problem: Dieses Konzept, welches auch auf lokal gespeicherte Anmeldedaten aufbaut, ist noch immer für Brute-Force-, Kennwort-Spray-, oder Man-in-the-Middle-Attacken anfällig.

Laut Microsoft ist dies noch immer einer der häufigsten und nach wie vor weiter ansteigenden Angriffsvektoren auf ihre Kunden.

Bei Millionen von Kunden, die Basic Auth bislang nicht eingesetzt haben, wurde die Option von Microsoft bereits deaktiviert. Falls Sie einer davon sind, dann herzlichen Glückwunsch! Sie müssen sich somit keine größeren Gedanken zu einer Umstellung machen. Das Weiterlesen kann sich an dieser Stelle dennoch für Sie lohnen, denn die Zukunft ist „passwortlos“.

Bei allen anderen Tenants, wird ab dem genannten Datum Basic Auth deaktiviert. Mailprogramme oder Anwendungen, die das unsichere Verfahren nutzen, werden sich nach der Umstellung nicht mehr verbinden können und eine Fehlermeldung erhalten. Es wird sich dabei nicht um eine generelle Stichtagsabschaltung handeln, sondern es werden sukzessiv bis Ende des Jahres beliebige Tenants ausgewählt und jeweils sieben Tage im Voraus Warnungen im Message Center und im Service-Health-Dashboard angezeigt.

Im Detail wird Basic Auth für folgende Protokolle abgeschaltet:

• MAPIRPC
• Offline Address Book (OAB)
• Exchange Web Services (EWS)
• POP
• IMAP
• Exchange ActiveSync (EAS)
• Remote PowerShell

Nicht betroffen ist SMTP AUTH. Dieses wurde bereits bei Tenants, auf denen es nicht genutzt wurde, abgestellt. Bei aktiver Nutzung bleibt dieses jedoch unangetastet.

Hinweis: Wenn in Azure die security defaults in Ihrer Organisation aktiviert sind, dann ist SMTP AUTH in Exchange Online bereits automatisch deaktiviert.

Microsoft gab bekannt, dass es keine Ausnahmen oder Aufschub für diese Maßnahme geben soll. Allerdings hat der Konzern nun doch kurz vor Ablauf der Frist allen Kunden, die bislang nicht in der Lage waren, die Umstellungen durchzuführen, noch einen letzten Aufschub eingeräumt. Das alte Basic-Auth-Verfahren kann noch bis spätestens Januar 2023 manuell über eine Selbstdiagnosefunktion für den Tenant reaktiviert werden.

Dass neu bzw. modern nicht automatisch immer gleich besser bedeutet, ist mittlerweile bekannt. Aber aus dem Sicherheitsaspekt betrachtet, stimmt es in diesem Falle durchaus. „Modern Authentication“, kurz auch „Modern Auth” genannt, soll Basic Auth zu ersetzen. Genauer gesagt hat es das bereits seit geraumer Zeit, weshalb die zugrunde liegende Technologie längst ausgereift und in den Unternehmen bereits etabliert ist.

Modern Auth ist ein Überbegriff für die Kombination verschiedener Authentifizierungs- und Autorisierungsmethoden zwischen Client und Server sowie auch für einige auf Zugriffsrichtlinien basierender Sicherheitsmaßnahmen. Es beinhaltet Authentifizierungsmethoden wie Multifactor (MFA)-, Smartcard- oder Client-certificate-based-Authentifizierung und Autorisierungsmethoden wie Microsoft‘s Implementierung von OAuth, SAML oder Active Directory Authentication Library (ADAL). Des Weiteren zählen Conditional access policies via Mobile Application Management (MAM) und Azure Active Directory (Azure AD) Conditional Access dazu.

Und genau hier liegt der Vorteil. Durch die Verwendung von ADAL- und OAuth-2.0-Protokollen, speichern und benutzen Applikationen bei Modern Auth keine Benutzeranmeldedaten, sondern die Anmeldung basiert auf zeitlich begrenzt gültigen Tokens.

Auch wenn der Benutzer dabei zumindest vorerst oftmals noch Benutzername und Passwort angeben muss – wie es ohne gehen kann, lesen Sie nachfolgend weiter unten – werden die Anmeldedaten für die Authentifizierung bei einem Identity Provider wie z. B. Azure AD genutzt, der wiederum entsprechende Zugriffstokens ausstellt. Diese Tokens beinhalten erweiterte Informationen in Form eines Claims, die genau spezifizieren, welche Zugriffsberechtigungen der anfragende Account erhält. Der Zugriff ist dabei nicht auf Microsoftressourcen beschränkt, sondern es lassen sich damit auch Zugriffe auf Anwendungen von Drittanbietern in der Cloud steuern. Da die Tokens außer dem Useraccount auch Informationen zu dem verwendeten Gerät oder dem aktuellen Standort enthalten können, ermöglicht dies den Einsatz von sogenannten Conditional-Access-Richtlinien. Hierüber kann beispielsweise granular und effektiv gesteuert werden, ob der Zugriff auf bestimmte Unternehmensressourcen von entsprechenden (privaten) Geräten oder auch aus bestimmten Ländern erfolgen darf oder nicht. Auch können Tokens mit einer Gültigkeitsdauer versehen werden oder mithilfe einer Zugriffssteuerung zurückgezogen werden.

Modern Authentication wird ab den folgenden Clientversionen unterstützt. Bitte vergewissern Sie sich, dass Sie mindestens folgende Versionen einsetzen:

• Outlook 2013 (ein Registry Key muss gesetzt werden)
• Outlook 2016 oder später für Windows und Mac
• Outlook für iOS und Android
• Mail für iOS 11.3.1 oder später

MS Outlook 2010 wird nicht mehr unterstützt.

Um die Umstellung von Basic auf Modern Auth durchzuführen, muss diese zunächst einmal generell aktiviert werden, falls dies noch nicht der Fall ist. Das kann im Microsoft 365 admin center unter Settings -> Org Settings -> Modern authentication oder über die Exchange Online PowerShell mit dem Befehl „Set-OrganizationConfig -OAuth2ClientProfileEnabled $true“ durchgeführt werden.

An dieser Stelle nochmals der Hinweis, dass Outlook nur ab Version 2016 (Version 2013 mit der Konfiguration von Registry Keys) unterstützt wird. Bedenken Sie jedoch auch andere potenzielle Anwendungen, die Sie im Einsatz haben und die möglicherweise die oben genannten Protokolle noch mit Basic Auth nutzen und stellen Sie diese, wenn möglich, auf Modern Auth um.

Sofern die entsprechende Software angepasst ist, können Sie die Basic Authentication auch selbst abschalten. Microsoft stellt dafür eine ausführliche Dokumentation bereit und gerne unterstützen wir Sie hierbei.

Hinweis: Bei Tenants die vor dem 01. August 2017 erstellt wurden, ist Modern Authentication für Exchange Online und Skype for Business Online per default ausgeschaltet.

Die Entscheidung für diese Maßnahme unterstreicht erneut, wie die Zukunft in der Thematik Userauthentifizierung und -Autorisierung laut Microsoft aussehen soll. Nämlich noch sicherer! Denn die künftige Strategie von Microsoft geht – wenn möglich – weg von simplen Anmeldedaten und hin zu einem passwortlosen Arbeiten. Beispielsweise mit Single Sign-On, der MS Authenticator App oder auch Windows Hello for Business. Letzteres hat mein Kollege Mario Saternus in einem sehr lesenswerten Artikel hier anschaulich erläutert: Passwortloses Arbeiten in der Domäne und in der Cloud.

Sei es nun kurzfristige Unterstützung im Zuge der Basic-Auth-Abschaltung, die Umsetzung von Security best-practices und Applikationsbereitstellungen oder die Planung und Ausarbeitung einer sichereren, ggf. passwortlosen IT-Landschaft – unsere Consultants unterstützen Sie hierbei gerne. Sprechen Sie uns jederzeit an unter: Kontakt