Home » Blog » Legacy Authenticatie, wat is het en waarom wil je ermee aan de slag?

Legacy wat stopt? Ik hoor je denken. “Waarom praten jullie IT-ers toch altijd in afkortingen of gekke termen”. Dat gevoel heb ik zelf als relatiebeheerder van een IT-organisatie vaak ook. Maar goed, ik ben dan zelf ook geen IT-specialist.

Onderstaande Blog/artikel heb ik geschreven voor niet technische lezers om zo goed als mogelijk duidelijk te maken wat de term Legacy Authentication betekent. En vooral waarom dit belangrijk is voor jouw organisatie om hier meer over te weten. Vooraf maak ik de aanname (oei gevaarlijk) dat je gebruik maakt van e-mail.

Wat is Legacy Authentication?

Nu eerst het serieuze stuk: Iedereen is bekend met inloggen op zijn of haar Microsoft-account, apparaat of applicaties. Meestal gebeurt dat middels een combinatie van een gebruikersnaam en wachtwoord. Op de achtergrond van dit inlog proces vindt er authenticatie plaats, oftewel je identiteit wordt vastgesteld. Kortom ben jij wel, wie je zegt dat je bent.

Dit authentiseren kan op basis van verschillende manieren (verificatieprotocollen). Een paar voorbeelden zijn: POP 3, Active Sync en Secure IMAP etc. Microsoft noemt deze verouderde autorisatie protocollen “Legacy Authentication” en stopt per 1 oktober 2022 met de ondersteuning ervan op e-mail (Exchange).

Legacy Authentication deel 1

 

Waarom stopt Microsoft hier mee?

Voornaamste reden is dat deze protocollen onveilig zijn. Onderstaand een aantal voorbeelden.
  • Meer dan 99% van de password-spraying attacks op identiteiten maakt gebruik van deze verouderde verificatieprotocollen.

  • Password-spraying attack: Dit is een type aanval op gebruikersaccounts waarbij, in de regel, één veel gebruikt wachtwoord op meerdere gebruikers wordt geprobeerd. 

  • Meer dan 97% van credential stuffing attacks maakt gebruik van verouderde verificatie.Credential stuffing attack is een type cyberaanval waarbij gestolen accountgegevens zijn verzameld, meestal bestaande uit lijsten met gebruikersnamen en/of e-mailadressen en de bijbehorende wachtwoorden (vaak door een datalek). Vervolgens worden deze gebruikt om ongeautoriseerde toegang te krijgen tot gebruikersaccounts middels geautomatiseerde inlogverzoeken. 

  • Azure AD accounts (Azure AD is een systeem dat identiteiten controleert en verifieert in de cloud ) waarvan Legacy Authenticatie is uitgeschakeld hebben 67% minder hacks dan die waar het staat ingeschakeld.

Bron: https://docs.microsoft.com/nl-nl/azure/active-directory/conditional-access/block-legacy-authentication

 

Hoe nu verder?

Legacy Authenticatie kan naast email accounts ook gebruikt worden bij andere applicaties die mail versturen (denk aan facturatieprogramma's) en vele andere tools (zelfs printers) binnen je IT-omgeving. Ook in apps waar men het niet van verwacht of niet van weet.

Zoals eerder benoemd stopt Microsoft met ondersteuning van Legacy Authenticatie voor Exchange(e-mail). Indien je dat voor die tijd, 1 oktober 2022, niet aangepast hebt kunnen software en apparaten stoppen met werken zoals je gewend bent. Voorbeelden zijn dat Scan to mail niet meer werkt of je op je telefoon geen mail meer kunt lezen. Andere Microsoft toepassingen waar deze verouderde verificatieprotocollen draaien zullen waarschijnlijk snel volgen. Maar naast dat het dus ouderwets is en het mogelijk is dat sommige functionaliteiten niet meer werken, is het risico dat vast zit aan het gebruik van Legacy Authentication in andere vormen aanzienlijk. Ons advies: besteed hier aandacht aan.

“Oké, soort van helder verhaal, En nu?” Allereerst een tip: pak Legacy Authentication in één keer aan dat is vele malen efficiënter dan nu eerst beginnen met alleen Exchange en over een tijdje met de volgende.

“Oh echt goeie tip Paul” Maar waar te beginnen en hoe doe je dat dan? En tot slot hoe los je dit dan op? Ik hoor de CFO al, kost zeker weer geld?


Start als organisatie met onderstaande:

  • Stap 1:
    Sluit iemand aan met de juiste inhoudelijke technische kennis. Bijvoorbeeld een technisch specialist van je IT-partij. En inderdaad, dat is niet die handige collega van Sales of dat ene mannetje die wel wat van e-mail en beveiliging weet.
  • Stap 2: Scan je omgeving
    Als organisatie wil je allereerst de verbindingen die van Legacy Authentication gebruik maken binnen je IT-omgeving herkennen.
  • Stap 3) Maak een plan van aanpak
    Met het Plan van aanpak ga je ervoor zorgen dat Legacy Authentication verbindingen worden uit gefaseerd en implementeer je vervolgens moderne authenticatie.
  • Stap 4) Blokkeer alle vormen van Legacy Authenticatie
    Tegenwoordig zijn er veiligere manieren van authenticatie ("Modern Authentication”),
    Moderne authenticatie ondersteunt veiligere manieren van inloggen denk hierbij aan passwordless sign in (inloggen zonder wachtwoord). Of inloggen middels een hardware key (FIDO keys) in combinatie met MFA (Multi Factor Authentication).

    FIDO (Fast IDentity Online) is een aanmeldmethode om je te kunnen registreren en inloggen op onlinediensten. Deze manier van inloggen is bedoeld als een vervanging van inloggen met een wachtwoord. Je logt in met een gebruikersnaam en een fysieke FIDO-sleutel. Dit wordt vaak gebruikt als tweede factor naast het wachtwoord.
Legacy Authentication deel 2

Kosten:

Ja, helaas kost alles geld. Het identificeren van Legacy Authentication in je omgeving, het uit faseren ervan en het implementeren van Modern Authentication kost geld. Hoeveel? Dat ligt eraan hoeveel Legacy Authentication nog actief is binnen je omgeving. In ieder geval kost het minder tijd en geld dan wanneer je gehackt wordt.

Op het moment je vragen hebt omtrent dit topic, dan wil je mij daar zeker niet inhoudelijk over spreken. Ik stel je dan graag voor aan een technische collega.

 

Meld je aan!

Gerelateerde posts

Het wat en het waarom Het aanschaffen en up-to-date houden van...

Jilles van den Bosch
12-6-20 14:11

De voordelen voor jouw IT-infrastructuur op een rijtje In deel 1 van...

Jilles van den Bosch
18-6-20 17:48

Het kostenplaatje: Pay-As-You-Go In deel 2 van deze blog serie...

Jilles van den Bosch
24-6-20 14:44