情境示意圖,背景圖片來源/Jussara Romão on unsplash

美國網路安全暨基礎架構安全管理署(CISA)本周發出安全指引,要求企業和聯邦政府單位在今年10月1日以前,將Exchange Online基本驗證轉到支援多因素驗證(MFA)的現代驗證(Modern Auth)。

CISA這份指引是出於微軟預定今年10月1日,永久關閉基本驗證(Basic Auth)。

微軟解釋,基本驗證是過時的驗證方式,應用程式因應伺服器要求才傳送使用者名稱和密碼,而且這些憑證資料通常會儲存在裝置上。可能使用基本驗證的協定包括POP/IMAP(Post Office Protocol/Internet Message Access Protocol)、EWS(Exchange Web Services)、ActiveSync及RPC over HTTP(Remote Procedure Call over HTTP)等。

基本驗證很容易設定,但並不安全。這舊式驗證可讓攻擊者更容易擷取使用者憑證(尤其當未啟用TLS連線傳送),並用這些憑證資料來存取其他重複使用密碼的端點或服務。因此微軟去年9月今年5月預告將之淘汰的計畫,並預設使用支援MFA的現代驗證。淘汰Exchange Online基本驗證也會讓不支援多因素、雙因素或兩步驟驗證(2-Factore Authentication/2-Step Verification)的App無法使用。

CISA要求美國聯邦政府機關應儘速規畫,將用戶和App轉移到現代驗證,俟完成轉移後就應封鎖基本驗證。最後一個步驟則是求實作驗證政策;透過Microsoft 365管理員中心的「Modern Authentication」頁啟動,並勾選取消基本驗證。

一些微軟提供的App,包括Outlook桌機版或Outlook 應用程式已經轉到現代驗證。


熱門新聞

Advertisement