Por conta da crise do COVID-19, a Microsoft e Google adiaram a remoção da autenticação básica e insegura. Veja como ficará essa importante medida com essa decisão.
Autenticação básica (também conhecida como autenticação por proxy ou autenticação herdada) é o processo pelo qual aplicativos móveis e de mesa enviam pares de nome de usuário/senha em cada solicitação feita ao conectar-se a servidores, terminais ou serviços online, com as credenciais dos usuários sendo frequentemente armazenadas localmente em seu dispositivo.
Embora simplifique bastante o processo de autenticação, a Autenticação Básica facilita muito o roubo de credenciais por invasores, especialmente quando eles são enviados por canais não criptografados e, pior ainda, onde estão ativados, “autenticação multifatorial (MFA) não é fácil de ativar quando você está usando a autenticação básica e, com frequência, ela não é usada”.
Desabilitando a Autenticação Básica e permitindo apenas a Autenticação Moderna no Exchange Online ao mesmo tempo, a Microsoft está tentando mitigar todos esses problemas de segurança.
A Microsoft diz que a remoção da autenticação básica do Exchange Online está sendo adiada para a segunda metade de 2021 devido à situação atual criada pela pandemia de COVID-19.
Microsoft e Google adiaram a remoção da autenticação básica e insegura
A equipe do Microsoft Exchange anunciou que:
“Em resposta à crise do COVID-19 e sabendo que as prioridades mudaram para muitos de nossos clientes, decidimos adiar a desativação da Autenticação Básica no Exchange Online para os inquilinos que ainda a usam ativamente até a segunda metade de 2021.”
No entanto, a partir de outubro de 2020, a Microsoft ainda desativará automaticamente a Autenticação Básica para todos os inquilinos recém-criados e naqueles em que não for usado ativamente.
A Microsoft afirmou que:
“Também continuaremos a concluir o lançamento do suporte do OAuth para POP, IMAP, SMTP AUTH e PowerShell remoto e continuaremos a melhorar nossos recursos de relatório.”
“Ainda pretendemos afastar nossos clientes da autenticação básica, pois acreditamos fortemente que melhorar a segurança no Exchange Online beneficia a todos nós, e anunciaremos cronogramas mais precisos para desativar a autenticação básica para inquilinos com uso posteriormente.”
A Microsoft anunciou anteriormente que a Autenticação Básica será desativada no Exchange Online para Exchange ActiveSync (EAS), POP, IMAP e Remote PowerShell a partir de 13 de outubro de 2020.
Esse anúncio ocorreu depois do anúncio anterior, realizado em julho de 2018, sobre os planos de Redmond de parar de dar suporte e descomissionar totalmente a API de Autenticação Básica na API do Exchange Web Services (EWS) para Office 365.
A Microsoft recomenda ativar a autenticação moderna
A autenticação moderna, na verdade a autenticação baseada em token da Biblioteca de Autenticação do Active Directory (ADAL) e OAuth 2.0, permite que os aplicativos usem tokens de acesso do OAuth que possuem vida útil limitada e bloqueiam sua reutilização em outros recursos.
Depois que a autenticação moderna é ativada, ativar e aplicar o MFA também fica muito mais simples, com a segurança aprimorada dos dados no Exchange Online sendo o resultado imediato.
Uma demonstração em vídeo sobre as etapas necessárias para adicionar o MFA às caixas de correio do Exchange Online/local é incorporada abaixo.
Para desabilitar a autenticação básica do Exchange Online antes do horário de encerramento, você deve criar e atribuir políticas de autenticação a usuários individuais, seguindo o procedimento detalhado no site de suporte do Microsoft Exchange Online.
Um documento sobre como habilitar a autenticação moderna no Exchange Online também diz que, no momento, “a autenticação moderna é habilitada por padrão no Exchange Online, no Skype for Business Online e no SharePoint Online”.
A Microsoft que:
“Desabilitar a autenticação básica e exigir autenticação moderna com o MFA é uma das melhores coisas que você pode fazer para melhorar a segurança dos dados do seu inquilino, e isso deve ser uma coisa boa.”
“A última coisa a esclarecer: essa alteração afeta apenas o Exchange Online, não estamos alterando nada nos produtos locais do Exchange Server.”
O Google também atrasou a desativação da autenticação herdada do G Suite
Embora o Google também tenha anunciado em dezembro de 2019 que impedirá que aplicativos menos seguros (LSAs) acessem os dados das contas do G Suite a partir de fevereiro de 2021, a empresa agora diz que o desligamento do LSA é suspenso até novo aviso.
Essa decisão ocorreu após a remoção da configuração “Impor acesso a aplicativos menos seguros para todos os usuários” do console do Google para administradores em outubro de 2019.
Em 30 de março, o Google afirmou que:
“Como muitas organizações lidam com o impacto do COVID-19 e agora estão focadas no suporte a uma força de trabalho remota, queremos minimizar possíveis interrupções para clientes que não conseguem concluir as migrações nesse período.”
“Como resultado, estamos suspendendo a desativação do LSA até novo aviso. Todos os prazos anunciados anteriormente não se aplicam mais.”
Os LSAs também usam o que a Microsoft descreve como Autenticação Básica e são aplicativos que não são do Google que acessam contas do Google usando pares de nome de usuário/senha, expondo os usuários que os usam para ataques de sequestro de contas.
O Google anteriormente planejava bloquear completamente o acesso dos LSAs a todas as contas do G Suite e aconselhou os desenvolvedores a atualizar todos os seus aplicativos para usar o OAuth 2.0 para manter a compatibilidade da conta do G Suite.
O Google também aconselha os usuários a migrar para aplicativos que oferecem suporte ao OAuth, pois protege suas contas de ataques de sequestro.
- Como instalar o Cubiomes Viewer no Linux via Flatpak
- Como instalar o jogo iQPuzzle no Linux via AppImage
- Como instalar o jogo Five or More no Linux via Snap
- Como instalar a interface do Wine WineZGUI no Linux via Flatpak
