С 1 октября 2022 года корпорация Microsoft отключит базовую аутентификацию для всех протоколов во всех клиентах Microsoft Exchange Online. Процесс базовой проверки подлинности осуществляется на основе HTTP: приложения отправляют учетные данные с каждым запросом на подключение к серверам, онлайн-службам или рабочим станциям. При этом пары логин/пароль часто сохраняются локально, непосредственно на устройстве.

Это существенно облегчает процесс аутентификации, но в то же время дает злоумышленникам возможность похищения учетных данных в ситуациях, когда соединения не защищены криптографическим протоколом Transport Layer Security (TLS). Кроме того, использование базовой аутентификации существенно осложняет процесс подключения многофакторной аутентификации, вследствие чего многие компании от него просто отказываются, тем самым ослабляя свою защиту.

Хотя корпорация Microsoft и не объяснила свое решение, многие эксперты в области кибербезопасности полагают, что оно прямо связано с опубликованным не так давно отчетом компании Guardicore. В нем раскрыта информация об утечке учетных данных сотен тысяч доменов Windows. Причиной этой утечки стали ошибки в настройке почтовых клиентов, использующих именно базовую аутентификацию.