AUTENTICAÇÃO BÁSICA NO MICROSOFT 365 PARTE I

Faltam 70 dias uteis!

É isso mesmo, em 70 dias úteis a Microsoft realizara uma alteração significativa no ambiente do Exchange Online.

E sem dúvida algum isso pode ser um grande problema para aquelas organizações que possuem uma administração reativa ao ambiente, ou seja, esperam o caos para fazerem alguma coisa.

A Microsoft interromperá o suporte à autenticação básica em outubro de 2022. Ao fazer isso, a Microsoft aumenta a segurança no (especialmente) Exchange Online, já que a autenticação básica é um vetor de ataque perfeito para usuários mal-intencionados.

Mas o que isso significa? Os clientes que usam o Exchange Web Services (EWS), ActiveSync, PowerShell, POP3 e IMAP4 e autenticam usando autenticação básica deixarão de funcionar. De quais clientes estamos falando? A autenticação básica só para o Exchange Online e não para o Exchange on-premises, mas o que acontece quando você está usando um cenário híbrido? De usar o Outlook para iOS em combinação com uma caixa de correio no local.

Nesta postagem vou tentar mergulhar um pouco mais fundo na autenticação e explicar o que vai acontecer.

Todos os detalhes dessa postagem você pode conferir com mais profundidade na documentação oficial, não deixe de ler a documentação oficial nos links no final dessa postagem

O que é a autenticação básica

Nunca confiar, sempre verificar! Esse é o lema do “Zero Trust” e com a autenticação básica não temos condições de dizer que estamos colocando em pratica as boas práticas de segurança cibernética.

Isso devido o fato da autenticação básica ter se tornado ultrapassada em nossos dias atuais e com isso nosso ambiente fica em grande risco podendo ter captura de credencias de forma bem simples por um atacante.

A Autenticação Básica é uma das formas mais antigas de autenticação em qualquer aplicativo web. Você acessa um aplicativo, uma caixa de diálogo é apresentada, você digita suas credenciais e as credenciais são enviadas (em texto claro). Para melhorar a segurança normalmente uma conexão SSL é usada, de modo que a conexão entre o cliente e o servidor é criptografada.

Para o Exchange Online, isso significa que o cliente (Outlook) envia credenciais em texto claro para o Exchange Online, e o Exchange Online autêntica contra o Azure AD, como abaixo:

Então, quais clientes estão usando autenticação básica? O Outlook 2010 é o mais comum, mas também muitos clientes do ActiveSync, clientes POP3 e IMAP4, PowerShell e Exchange Web Services (scripts e ferramentas!) ainda estão usando autenticação básica.

Deixo para sua imaginação o que acontecerá quando a Microsoft parar de suporte para autenticação básica (passo 1 nas capturas de tela acima) neste mês de outubro!

Autenticação moderna

A Autenticação Moderna é baseada na estrutura OAuth2. Ao usar o OAuth2, você concede permissões a um aplicativo (‘consentimento’) para entrar em contato com o servidor em seu nome. O cliente entra em contato com o servidor pela primeira vez e você digita suas credenciais em um quadro web, este é um quadro web baseado em servidor e quando as credenciais são inseridas dois tokens são gerados:

  • Token de acesso, que é usado para acessar vários serviços.
  • O token de atualização, que é usado para renovar o token de acesso quando ele está prestes a expirar.

Isso é mostrado na imagem a seguir:

O token de acesso é constantemente renovado até que não possa ser renovado, por exemplo, quando a senha expira, a conta é bloqueada (o token de acesso é revogado) ou quando uma política de Acesso Condicional não pode mais ser aplicada. Em todos esses cenários o acesso ao serviço é negado.

No Outlook 2013 você teve que definir algumas chaves de registro, mas no Outlook 2016 é ativado por padrão.

A maneira de identificar se você está usando autenticação moderna é a tela de login baseada em HTML que se parece com isso:

Outra maneira de identificar a Autenticação Moderna é usar o status de conexão no Outlook:

Quando você vê ‘Portador’ (vindo do token portador do OAuth) o Outlook está usando a Autenticação Moderna, se você ver ‘Limpar’ então a autenticação básica é usada pelo Outlook.

A autenticação básica é um padrão desatualizado do setor. As ameaças representadas por ela só aumentaram.

Recomento fortemente que os clientes adotem estratégias de segurança, como Confiança Zero (Nunca Confiar, Sempre Verificar) ou aplicar políticas de avaliação em tempo real quando usuários e dispositivos acessarem informações corporativas.

Essas alternativas permitem decisões inteligentes sobre quem está tentando acessar o que de onde em qual dispositivo, em vez de simplesmente confiar em uma credencial de autenticação que pode ser um ator ruim representando um usuário.

Resumo

Nesta primeira parte tentei explicar a diferença entre autenticação básica e autenticação moderna, como funciona a autenticação moderna e como identificar qual método de autenticação seu cliente Outlook está usando.

Na próxima postagem sobre o assunto vamos tentar explicar como podemos monitorar a autenticação básica e realizar alguns testes de ação no ambiente

Referencias

Basic Auth and Exchange Online – Atualização de fevereiro de 2020 – Microsoft Tech Community

Autorizar o acesso aos aplicativos web do Azure Active Directory usando o fluxo de concessão de código OAuth 2.0.

Blogs Pesquisados

Autenticação Básica no Office 365 Parte I | Jaap Wesselius

Office 365 – Audit Basic Authentication Usage (wisc.edu)


Um comentário sobre “AUTENTICAÇÃO BÁSICA NO MICROSOFT 365 PARTE I

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s