圖片來源: 

微軟

隨著COVID-19疫情漸緩,IT大廠一些原本延後的計畫也恢復實施。微軟近日宣布將於2022年10月1日關閉Exchange基礎驗證(Basic Authentication)協定。

使用基礎驗證(Basic Authentication,簡稱Basic Auth)時,App會在每次呼叫時傳送用戶名稱及密碼,雖然很容易設定,但也容易讓駭客竊取用戶帳密,因此微軟希望推動以OAuth 2.0為基礎的身分驗證及授權。去年2月微軟宣布於同年10月停用這項標準,後來因為爆發COVID-19全球大流行,微軟於4月宣布延後停止支援Exchange Online Basic Auth到2021年下半,Exchange Online租戶已經啟用的可持續使用,但是未使用的則不得啟用。此外去年秋天起,Exchange Web Services (EWS)、Exchange ActiveSync (EAS)、POP、IMAP、Remote PowerShell、MAPI、RPC、SMTP AUTH和OAB等服務也不再支援Basic Auth。

在最新宣布下,微軟將重新推動分階段捨棄Basic Auth的工作。首先,從2022年初,微軟會挑選Exchange Online特定租戶中對所有協定關閉Basic Auth 12到48小時。之後會再重新啟動Basic Auth。在這測試期間使用新式驗證(Modern Auth)的用戶端或App則不受影響。

從2022年10月1日,微軟將永久關閉所有Exchange環境對Basic Auth的支援。唯一例外的是SMTP Auth之後還可以重新啟動,但為了安全起見,微軟仍奉勸用戶最好還是不要再用。

微軟指出,Basic Auth是過時產業標準,與之相關的威脅從去年初以來大量增加,微軟呼籲企業用戶應在該公司終止使用前,升級到更安全的新式標準。


熱門新聞

Advertisement