Microsoft broedt al enkele jaren op het plan om Basic Authentication geleidelijk aan af te schaffen en te vervangen door Modern Authentication. Door de pandemie werd het plan uitgesteld naar de tweede helft van 2021.
Maar waarom willen ze het afschaffen? En wat houdt Modern Authentication in? Op deze en meer vragen voorzien we jou een duidelijk antwoord.
Basic Authentication
Wat is Basic Authentication?
Basic Authentication is een veelgebruikte manier van authenticatie voor vele internetbronnen. Het voornaamste voordeel is zijn eenvoud: met een gebruikersnaam en wachtwoord heb je al genoeg om in te loggen.
Daarom moest het gebruikt worden in combinatie met SSL om de headers te versleutelen en de toegangsgegevens te beschermen.
De nadelen van Basic Authentication
Maar zelfs wanneer HTTPS wordt gebruikt, zijn er nog tal van kwetsbaarheden van deze authenticatie, zoals:
- Authenticatieheaders worden in elk verzoek opgenomen, wat de mogelijkheid tot het onderscheppen van de logingegevens quasi eindeloos maakt.
- Logingegevens kunnen (permanent) worden opgeslagen in een browser. Bij een aanval op jouw browser zijn deze dus niet veilig.
- Basic Authentication ondersteunt geen scoping of gradatie van rechten, waardoor elke toepassing met deze logingegevens mogelijks ook toegang kan krijgen tot alle gegevens van deze specifieke gebruiker.
Zoals je ziet, biedt Basic Authentication té weinig bescherming in onze moderne wereld waar cyberaanvallen schering en inslag zijn. De huidige standaarden over beveiliging en dataprivacy mogen bovendien enkel toegang bieden tot specifieke data en middelen die nodig zijn om de applicatie te laten werken, en niets meer.
Daarom is er nood aan een moderne oplossing dat de tekortkomen en kwetsbaarheden van Basic Authentication tegemoet komt. Modern Authentication biedt de oplossing.
Modern Authentication
Wat is Modern Authentication?
Modern Authentication is een term die wordt gebruikt om te verwijzen naar authenticatie- en autorisatieprotocollen die beter zijn ontworpen voor onze moderne wereld. Met deze protocollen kunnen beheerders regels definiëren voor o.a.
- Authenticatie, nl. het proces waarmee iets of iemand inlogt op een systeem;
- Autorisatie, nl. mechanismen die ervoor zorgen dat je niet standaard volledige toegang tot iets hebt;
- en het voorwaardelijk configureren van een toegangsbeleid, nl. een beleid dat de voorwaarden vaststelt).
Bovendien omvat/maakt Modern Authentication authenticatiefuncties mogelijk zoals Multi-Factor Authentication (MFA), smartcards, Certificate Based Authentication (CBA) en SAML-identiteitsproviders van derden. Gebruikers worden gevraagd om deze aanvullende verificatiefuncties te gebruiken als dit door de systeembeheerder werd geconfigureerd in het toegangsbeleid.
Authenticatie is gebaseerd op toegangstokens in plaats van het cachen of versturen van gebruikersnaam en wachtwoord over het netwerk, zoals bij Basic Authentication het geval is. Moderne authenticatieprotocollen zoals OAuth2.0 stellen de gebruikers in staat diensten als Single Sign On (SSO) te gebruiken, wat een veiligere en verbeterde inlogervaring mogelijk maakt.
Hoe werkt Modern Authentication?
Gebruikersnaam en wachtwoord zullen niet langer de primaire bron van authenticatie zijn, maar er zal nog steeds een toegangstoken moeten worden geproduceerd (althans voorlopig) door authenticatie bij een identiteitsbron of -provider. Dit token bevat meer specifieke informatie over de rechten en privileges van de aanvrager (in de vorm van een claim) en wordt gevalideerd door de toepassing. Deze tokens kunnen ook worden ingetrokken en ingesteld om op een bepaalde datum te vervallen, waardoor extra controle wordt verkregen over wie toegang heeft tot welke informatie.
De voordelen van Modern Authentication
Moderne authenticatie maakt gebruik van protocollen zoals OAuth2.0. Dat stelt admins en gebruikers in staat het authenticatiebeleid te verfijnen om de toegang tot bronnen beter te controleren.
Een van de grootste voordelen van Modern Authentication is niet enkel dat het veiliger is, maar ook dat beheerders alle beleidsregels op één centrale plaats kunnen configurerer. Dit verlost de beheerder van de verantwoordelijkheid om telkens een beleid afzonderlijk te moeten configureren voor individuele apps. Dit zou de kans op een gemiste configuratie-update voor een applicatie vergroten, waardoor er gaten in de beveiliging kunnen ontstaan.
Conclusie
Moderne Authentication is ongetwijfeld dé volgende fase in de authenticatiecyclus die Basic Authentication zal vervangen. Hoewel de overstap langzaam verloopt en (sommige) deadlines blijven verlengd worden, raden we aan om zo snel mogelijk de upgrade naar Modern Authentication te voltooien.
Modern Authentication is niet alleen veiliger, maar is ook gebruiksvriendelijker en vereenvoudigt de taak van de beheerder.
Vele Microsoft-diensten zoals Outlook voor Office 365, Outlook 2016 / 2019 en Mail voor Windows 10 hebben de ondersteuning voor Moderne Authentication reeds geïmplementeerd en het aantal toepassingen neemt enkel toe.
