Vor längerer Zeit hatte Microsoft angekündigt, die Basic Authentication in Microsoft 365 zu deaktivieren. Am 1. Oktober, also nicht mehr lang hin, ist es soweit. Dann wird es in keinem Tenant bei Microsoft mehr möglich sein, die Standardauthentifizierung für MAPIoverHTTP, EWS, POP, IMAP und ActiveSync zu verwenden. Jetzt weiß ich ja, wie das so „im freien Feld“ ist. Microsoft kündigt irgendwas an, aber daran glauben viele Kunden erst nicht. Die sind dann aber überfordert, wenn es dann doch soweit ist. Und hier muss ich mal eben ausholen.
Was bitte ist denn die Basic Authentication?
Die Standardauthentifizierung – oder im Englischen halt Basic Authentication – ist eine Methode, um irgendeinem Dienst mitzuteilen, dass man derjenige ist, der man vorgibt zu sein. Das Ganze erfolgt mit Benutzername und Passwort. Es gibt keine wirkliche Vertraulichkeit. Dafür werden auch keine Cookies, Session Identifier und dergleichen benötigt. Aber ihr merkt schon, dass das jetzt nicht so die sichere Art und Weise ist, um Dienste wie Microsoft 365 zu nutzen.
Ursprünglich wurde die Basic Authentication im Jahr 1993 am CERN eingeführt. Das ist nun auch schon mal knapp 30 Jahre her. Da es viele Leute gibt, die die Kombination aus Benutzernamen und Passwort als nicht die beste Art und Weise ansehen, muss ja was besseres geben. Bei Microsoft nennt sich das Ganze Modern Authentication. Damit authentifiziere ich mich gegenüber Azure AD und bekomme einen Token, mit dem ich arbeiten kann. Und nur dieses Token wird bei mir gespeichert.
Das hat natürlich kolossale Vorteile, da bei der Basic Authentication immer die komplette Kombination verwendet wird. Und in heutigen Zeiten mit allerlei Angriffen ist das freilich komplett unsicher. Denn es können Passwörter geraubt werden. Mit so einem Token kann eben ein Angreifer nicht so sehr viel anfangen. Bei Microsoft 365 überlässt man am Ende nichts mehr dem Zufall und beendet diese vergleichsweise unsichere Art der Authentifizierung.
Muss ich denn etwas machen?
Ich muss ja herausfinden können, ob ich tätig werden muss. Das geht über diese Diagnosemöglichkeit im Tenant. In dem Blade kann ich testen, ob die Basic Authentication aktiv ist. Dazu muss ich auf „Run Tests“ klicken. Ist nichts zu tun, wird mitgeteilt, dass keine Probleme gefunden wurden. Das muss aber nicht überall so sein. Also hilft so ein Test schon mal weiter, um herauszufinden, ob ich entspannt dem 1. Oktober entgegen blicken kann.
Allerdings ist es nicht so, dass ich nun sofort in der Modern Authentication herumfummeln sollte. Denn was ist denn, wenn ich Anwendungen oder Clients mit dem Tenant verbunden habe, die damit gar nicht umgehen können? Genau: Die können sich dann nicht mehr anmelden. Und dann? Es gibt zwar die Möglichkeiten, ausgewählte Protokolle für die Basic Authentication weiter zu benutzen. Aber so richtig im Sinne des Erfinders ist das dann ja nicht, oder?
Ist das nun besser?
Jetzt kann man viel darüber diskutieren, was nun besser ist. Fakt ist, dass die Basic Authentication halt das Post-It am Monitor mit den Login-Informationen für den Arbeitsplatzrechner ist. Da nahezu alle modernen Clients mit Modern Authentication zurecht kommen, gibt es eigentlich nicht mehr so wirklich einen Grund, bei der Basic Authentication zu bleiben. Oder doch? Was ist mit älteren Anwendungen? Naja, die müssen modernisiert werden oder gehören ggf. ausgetauscht.
Man muss es so hart formulieren, wie es ist: Eine Anwendung, deren Entwickler nicht dazu in der Lage sind, auf aktuelle Gegebenheiten zu reagieren, kann man in den heutigen Zeiten mit den Bedrohungsszenarien, die ja real sind, einfach nicht mehr weiter betreiben. Beim Frank Zöchling steht hierzu auch noch einiges interessantes. Insofern muss am Ende niemand überrascht sein. Ich denke, am Ende wird diese Änderung mehr Sicherheit bringen. Und wie seht ihr das?
Ja, Henning, wenn eine Methode unsicher wird und nicht mehr anpassen kann, sollte man sie auch nicht mehr verwenden.
Lorenzo