随着COVID-19疫情渐缓,IT大厂一些原本延后的计划也恢复实施。微软近日宣布将于2022年10月1日关闭Exchange基础验证(Basic Authentication)协议。
使用基础验证(Basic Authentication,简称Basic Auth)时,App会在每次调用时发送用户名称及密码,虽然很容易设置,但也容易让黑客窃取用户帐密,因此微软希望推动以OAuth 2.0为基础的身份验证及授权。去年2月微软宣布于同年10月停用这项标准,后来因为爆发COVID-19全球大流行,微软于4月宣布延后停止支持Exchange Online Basic Auth到2021年下半,Exchange Online租户已经激活的可持续使用,但是未使用的则不得激活。此外去年秋天起,Exchange Web Services (EWS)、Exchange ActiveSync (EAS)、POP、IMAP、Remote PowerShell、MAPI、RPC、SMTP AUTH和OAB等服务也不再支持Basic Auth。
在最新宣布下,微软将重新推动分阶段舍弃Basic Auth的工作。首先,从2022年初,微软会挑选Exchange Online特定租户中对所有协议关闭Basic Auth 12到48小时。之后会再重新启动Basic Auth。在这测试期间使用新式验证(Modern Auth)的用户端或App则不受影响。
从2022年10月1日,微软将永久关闭所有Exchange环境对Basic Auth的支持。唯一例外的是SMTP Auth之后还可以重新启动,但为了安全起见,微软仍奉劝用户最好还是不要再用。
微软指出,Basic Auth是过时产业标准,与之相关的威胁从去年初以来大量增加,微软呼吁企业用户应在该公司终止使用前,升级到更安全的新式标准。