badge green

Drie redenen waarom je Legacy Authentication uit moet zetten voordat Microsoft het voor je doet

In mijn vorige blogpost omschreven we de actie die Microsoft gaat ondernemen in oktober van dit jaar, namelijk: het dichtzetten van Legacy Authenticatie voor Exchange Online. Om er zeker van te zijn dat jouw organisatie hier optimaal op voorbereid is en om negatieve impact te voorkomen, beschrijven we de aanbevolen acties die je kunt doorlopen in deze serie blogs. In dit blog ga ik dieper in op de redenen waarom je actie moet ondernemen, voordat Microsoft ingrijpt.

UPDATE 09-04-2020: Zoals sommige oplettende lezers al was opgevallen, heeft Microsoft de datum voor het uitschakelen van legacy authenticatie verschoven van oktober 2020 naar de 2e helft van 2021, zoals ook hier te lezen is. Zoals Microsoft zelf ook al stelt, stelt zij haar acties uit maar weerhoudt dat jou en je organisatie er niet van hier alvast mee aan de slag te gaan (en dat zou je ook moeten doen).

Waarom stopt legacy authenticatie?

Dus, Microsoft gaat Legacy Authenticatie dichtzetten voor Exchange Online vanaf oktober. Waarom willen ze dat doen? Legacy Authenticatie is gelimiteerd. Legacy Authenticatie limiteert je tot het gebruik van gebruikersnaam en wachtwoord. Met de (cyber) bedreigingen van tegenwoordig is de noodzaak er, om het beveiligingsniveau van je organisatie te verhogen; gebruikersnaam en wachtwoord zijn gewoonweg niet meer voldoende. Daarom is Multi-Factor Authenticatie (MFA) zo belangrijk en de reden waarom Microsoft (en vele andere organisaties) zo de nadruk leggen op het gebruik en de implementatie daarvan. Legacy Authenticatie faciliteert het gebruik van MFA niet, waardoor deze verouderde vorm van authentiseren een risico blijft.

Microsoft heeft een bijzonder uitgebreid scala aan mogelijkheden voor tracering en voorkoming van breaches, maar jij zit aan het stuur als het gaat om de implementatie van de beveiliging van je organisatie. Dat betekent dat jij ook de controle hebt over het uitschakelen van deze riskante (verouderde) vorm van authenticatie. Microsoft kan je vriendelijk, doch dringend, verzoeken dit te doen, maar ze zijn machteloos als het gaat om het daadwerkelijk omzetten van die schakelaar. Daarom zetten ze druk achter deze wijzigingen. Hoewel Microsoft mogelijk abnormaal gedrag kunnen detecteren, helpen zij niet wanneer je jouw security niet op orde hebt. Een belangrijke kanttekening hierbij is dat 99,9% van alle accountaanvallen kan worden voorkomen door de inschakeling/implementatie van MFA.

De risico’s van legacy authentication

Zoals ik in mijn vorige blogpost heb beschreven, zijn er grote risico’s verbonden aan het blijven gebruiken van alleen een gebruikersnaam en wachtwoord.

  1. Je Legacy Authenticatie connectie naar Exchange Online omzeilt Multi-Factor Authenticatie. Dat betekent dat het forceren van een MFA-verzoek (wat je bijvoorbeeld vanuit Conditional Access hebt ingesteld), niet nodig is wanneer je verbindt door middel van Legacy Authenticatie;
  2. Als “spearfishing” wordt gebruikt om het wachtwoord van je C-level collega’s (zoals je CFO of CEO) te bemachtigen, dan kan dat wachtwoord gebruikt worden om te verbinden met zijn/haar mailbox met bijvoorbeeld het traditionele IMAP-protocol. Vervolgens kan de inhoud van zijn/haar mailbox volledig worden opgehaald;
  3. Mocht de combinatie van gebruikersnaam/wachtwoord van één van je collega’s rondzwerven op het internet, als deze bijvoorbeeld bij een voorgaande inbraak is achterhaald of dezelfde combinatie in gebruik was voor een andere app/SaaS-dienst, dan kan deze gebruikt worden om op die manier verbinding te maken met de mailbox. Zie de geweldig website https://haveibeenpwned.com/ om te zien of jij (of één van je collega’s) één van de gelukkigen bent die hieraan is ontsnapt.

Hier bij InSpark zijn we helaas voorbeeld 2 in de praktijk al tegengekomen, we willen je daarom aansporen actie te ondernemen om dit te voorkomen.

Wat moet ik doen?

We begrijpen dat het spannend kan aanvoelen om zo’n (voor je gevoel drastische) wijziging te maken. Vooral als je niet iedere dag met dit type configuraties of dit vakgebied werkt. Daarom helpen we je graag om de beveiliging binnen je organisatie te verbeteren en te voorkomen dat je impact ervaart op het moment dat Microsoft “de knop omzet” aan hun kant.

Hieronder vind je de globale stappen die je kunt volgen om voorbereid te zijn op de aanstaande wijziging:

  • Zorg ervoor dat Moderne Authenticatie is ingeschakeld voor jouw Office 365 tenant (en zorg ervoor dat je Moderne Authenticatie ook inschakelt voor Skype for Business);
  • Zorg ervoor dat de applicaties die jouw organisatie gebruikt, Moderne Authenticatie ondersteunen en gebruiken. Voor Office geldt dat Office 2013 of hoger benodigd is. Let er even op dat voor Office 2013, je nog een wijziging dient te maken om deze met Moderne Authenticatie te laten werken. Zorg er verder voor dat applicaties die verbinden naar Exchange Online (zoals mobiele telefoon clients en applicaties die integreren met een mailbox, zoals ticketing-systemen), Modern Authenticatie ondersteunen en gebruiken. Wat betreft mobiele telefoons: die native mail app in iOS 12.1 en hoger ondersteunt Moderne Authenticatie. De native mail app op Android (Gmail) ondersteunt dit vanaf de versie Android Pie, maar alléén als je devices rechtstreeks op Office 365 uitkomen (autodiscover), dus niet via een Exchange-hybride of Exchange Hybrid Modern Authentication (HMA). Weet je dat andere clients gebruikt worden in je organisatie, controleer of ze geschikt zijn! Misschien een ideaal moment om organisatie-breed op de Outlook over te stappen? Heb je (support) applicaties, zoals ticketing-systemen die integreren met een mailbox? Zoals bijvoorbeeld het ophalen van mailbox informatie als nieuwe items? Controleer of ze Moderne Authenticatie ondersteunen;
  • Zorg ervoor dat je Multi-Factor Authenticatie (MFA) implementeert binnen je organisatie. Niet alleen voor je beheer-accounts, maar ook voor je eindgebruikers;
  • Zet mail-integraties die authentiseren met Legacy Authenticatie om naar Moderne Authenticatie. Ondersteunt je huidige applicatie (versie) dit niet, neem contact op met de leverancier, of zoek een alternatief;
  • Zet logging aan voor alle Legacy Authenticatie die plaatsvindt richting je Office 365 tenant. Je kunt dit doen met Conditional Access, of je kunt gebruik maken van de logging die Microsoft hiervoor al beschikbaar stelt. Blokkeer niet meteen Legacy Authenticatie, maar zorg ervoor dat je er een beeld bij krijgt wat er precies geraakt gaat worden als je dit wel gaat doen. Na analyse en het volledig omgaan naar Moderne Authenticatie (je ziet dus niks meer terugkomen in de log wat je niet wilt blokkeren), blokkeer je Legacy Authenticatie in zijn geheel. Let hierbij uiteraard goed op, zorg ervoor dat je tevoren je logging goed gecontroleerd hebt;
  • Creëer “authentication policies” op Exchange (Online) die Legacy Authenticatie blokkeren en begin deze toe te passen op al je mailboxes. Zorg ervoor dat je eerst de mailboxes hiermee configureert die je niet terugziet in je logging en breid vanaf daar uit. Als blijkt dat er dit toch impact heeft, kun je eenvoudig de wijziging terugdraaien door een (handmatig gecreëerde) “fall-back policy” te configureren. Daarmee gun je jezelf de tijd de bron van het probleem op te lossen. Houd er rekening mee dat wanneer je dat probleem niet oplost voor oktober, Microsoft het dan voor je doet, en niet op meest ideale manier ;).

In mijn volgende blogpost zal ik in meer detail door de implementatie van bovenstaande stappen heen lopen.

Hoe nu verder?

Legacy authenticatie was de traditionele manier van authentiseren door middel van gebruikersnaam en wachtwoord. Moderne Authenticatie brengt veel nieuwe mogelijkheden met zich mee. Zo stelt het jouw organisatie in staat veel nieuwe features in te gaan zetten, zoals het Password-less gaan werken! Dit maakt het inloggen voor jou en je collega’s eenvoudiger, door gebruik te maken van nieuwe technieken als biometrische sensoren, een bluetooth verbinding met je telefoon en/of een FIDO2-authenticatie key. Zie de artikelen van mijn collega’s over password-less werken en ga vandaag nog aan de slag. Mocht je nou meer vragen hebben over wat jij met jouw organisatie moet doen, neem dan contact op onder aan dit blog. Ik help je graag verder!

SHARE
Jop Gommans
Share

Gerelateerde blogs

Werken zonder wachtwoorden

Werken zonder wachtwoorden

Wil jij makkelijker, maar vooral veiliger werken? Stop dan met wachtwoorden en kijk naar de mogelijkheden om password-less te werken binnen jouw organisatie.

Jop Gommans

Consultant Modern Workplace Foundation

Meer informatie?
Kom koffie drinken. Ik vertel je graag alles over password-less werken en de mogelijkheden voor jouw bedrijf
Altijd up to date?
Blijf op de hoogte van de laatste innovaties. Geef aan welke mailings jij maandelijks wil ontvangen. Schrijf je nu in!