Menu

Sobre la desactivación de Basic Auth en Exchange Online

El equipo de Exchange de Microsoft comunicó en septiembre del año pasado que el 1 de octubre de 2022, Microsoft iba a llevar a cabo la desactivación permanente de la autenticación básica, Basic Auth en inglés, en todos los tenant de la clientela que aún lo estuviese utilizando y que, tras la desactivación,  pasarían a usar Modern Auth (un método de autenticación más seguro). Es importante recordar esto puesto que queda menos de dos meses y de estar utilizando Basic Auth durante la desactivación podría implicar un error del tipo HTTP 401 error: bad username or password en entornos de producción.

En este post, te cuento más información al respecto:

¿En qué consiste esta desactivación?

A partir del 1 de octubre de 2022, Microsoft va a empezar a desactivar Basic Auth progresivamente de manera aleatoria en todos los tenants que todavía la estén utilizando y se espera que el cambio ya esté aplicado para todo el mundo a finales de año. A cada tenant seleccionado se le comunicará el cambio mediante una alerta los 7 días anteriores a través de Message Center y de Service Health Dashboard. El procedimiento está detallado en el siguiente post del equipo de Exchange.

Se va a desactivar Basic Auth para los siguientes protocolos: MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) y Remote PowerShell.

¿Qué consecuencias tiene?

Según el equipo de Exchange, si se está utilizando alguna user app, un script, una integración, etc, que esté usando Basic Auth para alguno de los protocolos afectados, no será posible conectarse a ella. En consecuencia, la app mostrará un error del lado del cliente HTTP 401 error: bad username or password.

Las apps utilizando Modern Auth para los mismos protocolos no se verán afectadas por lo que se hace fundamental anticiparse al período de desactivación para evitar que nuestras apps (scripts, integraciones, etc) dejen de dar servicio afectando a la producción.

¿Por qué va a dejar de existir Basic Auth?

Basic Auth es una de las formas más comunes (o la más común) por la que se producen los compromisos de las cuentas de la clientela y este tipo de ataques va en aumento, según el equipo de Exchange.

La autenticación básica se utiliza para protocolos como POP, SMTP, IMAP, y MAPI donde no se podría configurar MFA (Multi-factor authentication) y esto hace que sean explotados por ciberatacantes como vía de entrada a la organización. Es decir, la autenticación de múltiples factores (MFA) no estaría disponible en la autenticación básica y esto implica que, si unas credenciales se han visto comprometidas, no habría una capa extra se seguridad que evitaría un acceso no autorizado a los sistemas (el MFA sirve para esto, añade más controles de acceso).

¿Cómo hacer el cambio?

Se debe crear un plan para migrar las aplicaciones y usuarios que estén utilizando Basic Auth a Modern Auth siguiendo la documentación ‘Deprecation of Basic authentication in Exchange Online | Microsoft Docs’ y el post del equipo de Exchange: ‘Basic Authentication Deprecation in Exchange Online – May 2022 Update - Microsoft Tech Community’.

Acceder al siguiente enlace para más información sobre cómo desactivar Basic Auth en Outlook, Exchange Web Services (EWS), Remote PowerShell, POP e IMAP y Exchange ActiveSync (EAS).