Microsoft akan menghilangkan metode untuk masuk ke layanan email Exchange Online yang secara luas dianggap rentan dan ketinggalan zaman, tetapi masih diandalkan oleh beberapa bisnis.
Perusahaan telah mengatakan bahwa pada 1 Oktober, itu akan mulai menonaktifkan apa yang dikenal sebagai "otentikasi dasar" untuk pelanggan yang terus menggunakan sistem.
Otentikasi dasar biasanya hanya membutuhkan nama pengguna dan kata sandi untuk login; sistem tidak berfungsi dengan baik dengan otentikasi multifaktor dan rentan terhadap sejumlah risiko keamanan tinggi lainnya . Microsoft telah mengatakan bahwa untuk beberapa jenis ancaman berbasis kata sandi umum, penyerang hampir secara eksklusif menargetkan akun yang menggunakan otentikasi dasar.
Di platform identitas Okta, yang mengelola login untuk sejumlah besar akun Microsoft Office 365, "kami telah melihat masalah ini selama bertahun-tahun," kata Todd McKinnon, salah satu pendiri dan CEO. "Saat kami memblokir sebuah ancaman, sembilan dari 10 ancaman itu melawan akun Microsoft yang memiliki otentikasi dasar. Jadi kami pikir ini adalah hal yang hebat."
Microsoft telah berusaha untuk mendorong bisnis untuk beralih dari otentikasi dasar selama tiga tahun terakhir, tetapi "sayangnya penggunaan belum nol," katanya dalam sebuah posting awal bulan ini .
Microsoft telah menunda penghentian autentikasi dasar pada beberapa kesempatan untuk memberikan kesempatan bagi mereka yang lamban untuk mengadopsi sistem "otentikasi modern", yang mendukung pendekatan yang lebih aman, yang dikenal sebagai OAuth 2.0 , dan lebih mudah digunakan dengan MFA. Sekarang, perusahaan sebenarnya memberi pelanggan satu kesempatan terakhir untuk membeli lebih banyak waktu untuk beralih.
Saat kami memblokir ancaman, sembilan kali dari 10 ancaman tersebut menyerang akun Microsoft yang memiliki otentikasi dasar.
Jika pelanggan menemukan bahwa ia tidak dapat lagi mengakses akunnya setelah akhir pekan ini karena otentikasi dasar telah dinonaktifkan, pelanggan akan diizinkan untuk mengaktifkan kembali otentikasi dasar sekali lagi untuk setiap protokol Exchange Online yang mungkin digunakan. Otentikasi dasar akan tetap diaktifkan hingga akhir Desember, tetapi akan dihilangkan, untuk selamanya, setelah itu, menurut Microsoft.
"Tujuan kami dengan upaya ini hanya untuk melindungi data dan akun Anda dari meningkatnya jumlah serangan yang kami lihat memanfaatkan auth dasar," kata perusahaan itu dalam posting tersebut. "Namun, kami memahami bahwa email adalah layanan yang sangat penting bagi banyak pelanggan kami dan mematikan autentikasi dasar bagi banyak dari mereka berpotensi sangat berdampak."
Intinya, pesan Microsoft kepada pelanggan adalah bahwa "kami memaksa Anda menempuh jalur keamanan yang lebih baik," yang secara keseluruhan merupakan kemenangan dalam pertempuran melawan serangan siber, kata Joseph Carson, kepala ilmuwan keamanan di vendor manajemen akses istimewa Delinea.
Namun, untuk bisnis yang lambat mengadopsi teknologi baru dan belum beralih dari otentikasi dasar, langkah yang akan datang dapat menimbulkan gangguan yang signifikan, kata Carson.
"Mereka akan berjuang untuk bergerak maju," katanya. "Itu bisa melarang bisnis berfungsi untuk sementara waktu sampai mereka melakukan investasi [otentikasi modern]."
إرسال تعليق