微軟關閉基本身份驗證���,對企業與員工有什么影響?
作者:騰訊企業微信郵箱 發布時間:2023-02-03 13:24:18 訪問量:219
導讀:微軟關閉基本身份驗證�����,對企業與員工有什么影響?微軟決定自 2022 年 10 月 1 日起����,在全球范圍內對使用 Exchange Online 的用戶逐步關閉基本身份驗證���,將關閉以下協議的基本身份驗證:Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows/Mac�。(對尚未使用 SMTP AUTH 的租戶�,SMTP AUTH 也將被關閉)�����。
微軟關閉基本身份驗證��,對企業與員工有什么影響?
微軟決定自 2022 年 10 月 1 日起�����,在全球范圍內對使用 Exchange Online 的用戶逐步關閉基本身份驗證�,將關閉以下協議的基本身份驗證:Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows/Mac����。(對尚未使用 SMTP AUTH 的租戶����,SMTP AUTH 也將被關閉)����。
此外�����,使用由世紀互聯運營的 Office 365 服務的租戶將于 2023 年 3 月 31 日起全面關閉基本身份驗證����,在此之后����,用戶無法以任何形式訪問賬戶��,除非特殊申請�����。
01
基本身份驗證的弊端
微軟將任何不支持 MFA 的 Microsoft 365 進行身份驗證的方式稱為“基本身份驗證”�����, 啟用舊式身份驗證的賬戶更容易受到安全因素影響���,因為賬號安全性依賴于用戶定義的密碼強度�。
基本身份驗證是一種基于 HTTP 的身份驗證方案�,由應用程序向服務器����、服務或 API 節點發起每個連接請求時��,都會同時發送用戶名和密碼�����,并將這些憑據保存在設備上����,這種身份驗證很容易讓不法分子竊取用戶憑據���,并且還易受到密碼噴涂攻擊��。在 2021 年 7月�����,微軟威脅情報中心和數字安全部門的研究員發現了一個惡意活動集群��,DEV-0343.正在對美國和以色列國防技術公司的 Office 365 用戶發起大范圍的密碼噴涂攻擊����。微軟解釋說:“他們不是針對一個用戶嘗試多個密碼�,而是通過嘗試多個用戶針對一個密碼嘗試破解鎖定和檢測����?����!?/span>
更糟糕的是���,在使用基本身份驗證時����,啟用多重身份驗證(MFA)非常復雜�����,而且通常根本不適用����。
微軟表示�����,關閉基本身份驗證應該通過防止攻擊者破壞用戶帳戶來幫助提高其 Exchange Online 服務的安全性��?��!疤嵝岩幌?�,Basic Auth 仍然是我們的客戶受到損害的最常見方式之一��,這些類型的攻擊正在增加���。我們已經在數百萬個未使用它的租戶中禁用了基本身份驗證���,目前正在仍然使用它的租戶中禁用未使用的協議���,但是每天你的租戶都啟用了基本身份驗證��,你都有受到攻擊的風險” Exchange 團隊解釋說����。
2021年����,在全球范圍內��,每天有 30.000 個網站被黑客入侵;全球 64% 的公司至少經歷過一種形式的網絡攻擊;每 39 秒��,某個程序就會發生一次新的攻擊��。
根據《信息安全與通信保密雜志社》報道���,傳統身份認證存由于技術缺乏在用戶客戶端平臺硬件啟動階段對客戶端進行身份認證�,存在非授權客戶端平臺接入網絡的現象��,為用戶網絡帶來潛在威脅傳統的身份認證技術依賴于操作系統�,采用數字證書的軟件認證方式�����,容易受到病毒��、木馬����、身份仿冒等惡意攻擊����,且存在被旁路繞過的風險���。
由此可見���,傳統身份認證已經無法應對日益嚴峻的旁路攻擊�����、木馬/病毒攻擊�����、無權限的客戶端非法接入等問題�,“新式身份驗證”方興未艾����,可提供更安全的用戶身份驗證和授權���。
02
新式身份驗證的興起
新式身份驗證是客戶端(例如�����,您的便攜式計算機或手機)與服務器之間的身份驗證和授權方法的組合�����,以及依賴于您可能已經熟悉的訪問策略的一些安全措施����,旨在擺脫傳統的用戶名\密碼方法�,而是依賴于基于令牌的聲明��,包括:
身份驗證方法:自適應多因素認證(MFA);智能卡認證;基于客戶端證書的身份驗證
授權方式:微軟的開放式授權(OAuth)的實現
條件訪問策略:移動應用程序管理(MAM)和 Azure Active Directory(Azure AD)條件訪問
雖然用戶仍需要提供用戶名和密碼�����,但它僅僅用于向身份提供程序進行身份驗證��,生成用于訪問的令牌���。此令牌以更具體的信息(聲明的形式)�,指定請求者執行的操作和無權訪問的內容���,過期可吊銷���,基于“從不信任����,始終驗證”原則管理用戶訪問權限�����。
例如���,如果一個非財務部的員工訪問公司財務帳戶��,系統會啟用驗證應用程序或短信檢索代碼�����,這位員工需要將該代碼輸入到界面中�,才能訪問帳戶��?���?此坪唵蔚囊徊礁郊蛩?���,卻可以有效降低賬戶信息泄露威脅����。在大多數情況下��,這個簡單的附加“因素”可以防止您的帳戶憑據已泄露的嘗試安全威脅�。
MFA 也可以更復雜����,結合指紋����,掌紋或語音識別等生物識別技術����。無論采用哪種類型的 MFA���,它都是向用戶帳戶添加重要保護層的有效方法����。
更為值得一提的是�����,據報道�����,**使用現代身份驗證可降低企業安全威脅的比率在金融�����、科技����、零售�����、制造業等 16 個領域均超過 95%**�����,排名前五位的分別是科技領域(99.6%)��、政府領域(99%)��、教育(98.5%)�����、批發貿易(98.3%)��、房地產�����、出租與租賃(98.2%)���。
思科顧問首席信息安全官����、俄亥俄州立大學前首席信息安全官海倫·巴頓(Helen Patton)表示�����,“商品化的網絡威脅����,特別是勒索軟件集團����,加上遠程工作的急劇增加�����,使 MFA 需求增大�����。不斷變化的技術�����,我們必須應對的威脅行為者的變化����,我們管理支付方式的變化 - 所有這些都導致我們需要更好�,更普遍地使用 MFA�。使用 MFA 后����,消費者和員工經常將接收帶有一次性密碼(OTP)的短信或電子郵件的額外步驟視為登錄過程的繁瑣且不必要的步驟��?!?/span>
03
Authing 多因素認證的優勢
通過對數據安全監管等技術的研究����,Authing 提升了針對違法數據流動等安全隱患的監測發現與處理能力���,采用全局 MFA 提升整體的安全性�����。Authing 多因素認證 賦能 Authing 應用�,即刻提升應用認證與訪問安全等級���。Authing 可提供包括手機令牌���、短信/郵箱驗證碼��、兼容第三方身份驗證器��、生物識別�、圖形鎖��、小程序認證等多種認證方式����,提高企業身份安全性�����。
Authing 國內首款以開發者為中心的全場景身份云產品��,集成了所有主流身份認證協議����,致力于幫助企業和開發者提供完善安全的用戶認證和訪問管理服務��。憑借安全�����、完善�、易用的用戶認證和管理平臺���,Authing 已幫助全球 20000+ 企業和開發者構建標準化的用戶身份體系��,每月支持近億用戶安全登錄數萬系統�����,成為新一代身份基礎設施����。
2022 年 4 月 28 日�����,Authing 順利通過 ISO/IEC 20000-1 服務管理體系(ITSMS)和信息安全管理體系認證�,從專業和權威層面驗證和肯定了 Authing 的安全管理等級已達到國際領先水平����。
Authing 以共同的安全責任模型為客戶統一提供具有保密性�、完整性和可用性的服務��,采用自適應多因素認證技術����,在用戶進行認證流程時�����,「自適應」多因素認證對當前登錄的用戶生成的多種 「關鍵要素」�?�?杉信渲枚喾N密碼以外的認證因子���,包括動態令牌���、證書�����、人臉���、指紋等生物特征;也可集成多種常見第三方認證源�。同時���,提供開發者 API��,支持其他應用使用 IDaaS 的身份認證能力�����。
應用場景
隨著移動辦公��、遠程辦公的普及��,如何在有限資源的條件下�,確保產業鏈各類角色成員都能高效的訪問各類應用系統及辦公資源����,是 IT 管理部門的重要任務���。
在整個過程中�����,經常面臨如下挑戰:
1.更多變的工作場所����。銷售�����、商務人員經常要全國各地拜訪客戶����,進行異地登錄���、切換設備�����,在這個過程中���,一旦設備丟失����、維修�,對系統安全性造成了極大挑戰�����。
2.更強的安全性需求�。根據美國最大通信運營商威瑞森最近發布的《2021 年數據泄露調查報告》:85% 的數據泄露涉及人的因素;61% 的數據泄露牽涉登錄憑證��。降低風險對企業至關重要���,一旦客戶和用戶數據信息泄露�,將會失去客戶信任�,對企業品牌和聲譽造成不可估量的損失��。
3.更便捷的登錄需求���。安全性的增加�,也造成了一定程度上身份驗證的繁瑣����,系統多的公司����,員工甚至要記錄數十個不同賬號和密碼����,如果忘記了密碼��,還得找 IT 部門重設�,極大地影響了工作效率�����。
在多因素身份驗證提供多層保護的情況下��,Authing 自適應多因素身份認證會評估企業用戶在請求訪問時呈現的風險����,查看用戶設備和位置等詳細信息以了解上下文�,保障身份互聯���、數據互通等能力����,讓業務流轉加速��,提升企業整體效率�,實現數據�、身份�、業務的閉環�����,以「身份中臺」為底座�,通過「零信任」安全架構�����,加速企業數字化轉型進程����。
MFA 提高了安全性�,即使一個憑據遭到入侵���,未經授權的用戶也無法滿足第二個身份驗證要求�����,并且也無法訪問目標用戶的身份空間�����、計算設備��、網絡或數據庫�。
已在企業中實施自適應多因素認證的用戶還可以通過單點登錄(SSO)繼續加強身份驗證和授權����,單點登錄(SSO)允許用戶對多個服務使用一組憑據��,用戶只需輸入一套賬號密碼�,即可登錄所有業務系統�����,無需在多應用之間頻繁切換�,以此保證企業員工在任何地方�����、任何地點�、任何計算機上無縫訪問多個應用程序�����,提高了員工和 IT 的生產力��,優化了用戶體驗����。
單點登錄(SSO)可以幫助降低員工因需要輸入多個賬號和密碼帶來的沮喪情緒�����,而自適應多因素認證 MFA 允許他們在登錄嚴格權限的程序或網絡之前驗證用戶身份�����,二者結合使用��,保證了企業和員工信息的安全性�,提高了客戶信任度����,降低了運營成本�。
MFA 驗證至少混合了兩個單獨的因素����。一方面��,是你的用戶名和密碼�,即你的信息��。另一方面���,是你的物理信息��,即你的指紋����、人臉等人體特征����,即你是誰�����。Authing 自適應多因素身份認證主要包括以下幾種認證方式:
1. 手機令牌
通過安全性強的動態 OTP 口令驗證��,幫助保護賬戶安全�����,避免惡意攻擊��。
2. 短信/郵箱驗證碼
操作簡單
方便快捷
提高登錄安全性
3. 兼容第三方身份驗證器
兼容第三方身份驗證器����,包括但不限于:
Google Authenticator
Microsoft Authenticator
Authy
4. 生物識別
指紋/人臉作為人體特征的關鍵因素�����,在安全認證領域被廣泛應用��。
5. 小程序認證
將 Authing 移動令牌驗證器集成至微信小程序�����,免去安裝 APP 的流程�,快捷使用移動端驗證器�。
客戶案例
某國高科技企業內部使用了多套系統�����,且各個賬號體系對于密碼的安全等級需求也不一致���,導致員工在不同系統切換時�,需要多次進行身份驗證�,如果驗證不成功�����,還得找 IT 部門更換密碼��,造成體驗不佳�,極大地影響了工作效率�。
Authing 為其提供了兩種解決方案���。
一方面�,Authing 提供了統一權限管理��、員工全生命周期管理等能力�����,提高了企業管理團隊工作效率�����。另一方面��,Authing 提供了自定義密碼強度及輪換����、自定義加密等級等基于低代碼和 Serverless 能力����,符合了安全性與合規性要求�。
04 未來規劃
Authing 安全產品負責人汪智勇表示���,在未來��,Authing 會提供更加靈活����、智能的 MFA 服務產品����,可以獨立嵌入到應用之中�����,并且會不斷擴展 MFA 的支持場景���,例如 ADFS����、RSA 等等�����。同時在現有的自適應 MFA 基礎上�����,能夠提供更加靈活�����、細膩度的驗證策略配置��,可以基于用戶的設備��、網絡環境��、時間���、行為特征�����、歷史習慣等等因素設置多因素認證策略�,充分適配不同企業對于用戶體驗與訪問安全的平衡偏好��。
聲明:本文由騰訊企業微信郵箱收集整理的《微軟關閉基本身份驗證���,對企業與員工有什么影響?》�����,如轉載請保留鏈接:http://www.mypaintedlips.com/news_in/1823
