美CISA要企業、政府10月前將Exchange Online轉到支援MFA的現代驗證

美國網路安全暨基礎架構安全管理署（CISA）本周發出安全指引，要求企業和聯邦政府單位在今年10月1日以前，將Exchange Online基本驗證轉到支援多因素驗證（MFA）的現代驗證（Modern Auth）。

CISA這份指引是出於微軟預定今年10月1日，永久關閉基本驗證（Basic Auth）。

微軟解釋，基本驗證是過時的驗證方式，應用程式因應伺服器要求才傳送使用者名稱和密碼，而且這些憑證資料通常會儲存在裝置上。可能使用基本驗證的協定包括POP/IMAP（Post Office Protocol/Internet Message Access Protocol）、EWS（Exchange Web Services）、ActiveSync及RPC over HTTP（Remote Procedure Call over HTTP）等。

基本驗證很容易設定，但並不安全。這舊式驗證可讓攻擊者更容易擷取使用者憑證（尤其當未啟用TLS連線傳送），並用這些憑證資料來存取其他重複使用密碼的端點或服務。因此微軟去年9月及今年5月預告將之淘汰的計畫，並預設使用支援MFA的現代驗證。淘汰Exchange Online基本驗證也會讓不支援多因素、雙因素或兩步驟驗證（2-Factore Authentication/2-Step Verification）的App無法使用。

CISA要求美國聯邦政府機關應儘速規畫，將用戶和App轉移到現代驗證，俟完成轉移後就應封鎖基本驗證。最後一個步驟則是求實作驗證政策；透過Microsoft 365管理員中心的「Modern Authentication」頁啟動，並勾選取消基本驗證。

一些微軟提供的App，包括Outlook桌機版或Outlook 應用程式已經轉到現代驗證。