Si aun utilizas la autenticación básica de Microsoft (también conocida como Basic Authentication o Basic Auth), te espera un día difícil el 1 de octubre. Esa es la fecha en la que Microsoft comenzará a deshabilitar la autenticación básica para protocolos de Exchange Online (que también será dado de baja).
Sí, está sucediendo, y esto es lo que Microsoft reportó:
Microsoft degrada el uso de la autenticación básica en Exchange Online para varias aplicaciones, incluyendo EAS, POP, IMAP, PowerShell remoto, Exchange Web Services (EWS), libreta de direcciones sin conexión (OAB), Outlook para Windows y Mac.
También deshabilitarán SMTP AUTH en todos los inquilinos en los que no sea utilizado.
La fecha límite para su reemplazo se aproxima rápidamente y muchos usuarios aun lo utilizan, a pesar de los recordatorios emitidos por Microsoft. Si te encuentras entre ellos, la compañía recomendó hacer el cambio a la autenticación moderna (OAuth 2), que emplea autorizaciones basadas en tokens. Los tokens de acceso de OAuth tienen una duración útil limitada y son específicos de las aplicaciones y los recursos para los que se emiten, por lo que no se pueden reutilizar.
En los últimos meses, hemos contactado a los equipos técnicos de nuestros clientes para ayudarlos con esta transición. Para resumir, aquí compilamos algunas de las alternativas existentes y profundizamos en la manera en la que esta degradación te afectará si eres usuario de InvGate.
Alternativas a la autenticación básica
Existen varias alternativas a Basic Auth. OAuth es la opción popular para autenticaciones y autorizaciones, mientras que SAML califica para quienes necesitan capacidades de inicio de sesión unificado (single sign-on). Mientras tanto, LDAP y Kerberos son protocolos bien establecidos que pueden emplearse para autenticación, al tiempo que NTLM funciona si eres usuario exclusivo de productos de Microsoft.
Aquí, un detalle de cada uno:
- OAuth 2.0: un protocolo estándar que permite a sus usuarios autenticarse sin necesidad de ingresar credenciales de manera constante.
- SAML 2.0: un protocolo basado en XML que permite el inicio de sesión unificado entre distintas aplicaciones.
- Kerberos: un protocolo de autenticación de red que utiliza criptografía para proveer seguridad para información sensible.
- Microsoft Entra ID (ex Azure AD): servicio de directorio basado en la nube que puede utilizarse para administrar las identidades de usuarios y el control de accesos.
- Autenticación basada en formularios: este es un método de autenticación heredada que aun es respaldado por EWS.
- JSON Web Token (JWT): una alternativa popular a OAuth que te permite crear y validar tokens por ti mismo.
- NTLM: este es también un protocolo de Microsoft. Es más seguro que la autenticación básica y ya es compatible con muchos productos de la compañía.
Para proteger tu información, también cuentas con otras medidas que pueden ser complementarias a la autenticación básica:
- Autenticación de dos factores: representa una capa adicional de seguridad que requiere a los usuarios ingresar un código único, además de su usuario y contraseña.
- Autenticación de múltiples factores: esta es una combinación de dos o más factores, como contraseña, huella digital y reconocimiento facial.
- Encriptación: consiste en un proceso que codifica información para que solo pueda ser leída por individuos autorizados.
Estas alternativas proveen una autenticación más segura para sus usuarios y son menos factibles de ser degradadas en el futuro cercano.
Cómo afecta la degradación de Basic Auth a los usuarios de InvGate
Microsoft recomienda cambiar a OAuth 2.0, que es un método de autenticación más seguro. Si utilizas alguno de nuestros productos, debes haber notado que incluimos recordatorios para que tomes medidas. Es que, una vez que la degradación se active, los siguientes servicios se verán afectados.
InvGate Service Management
Primero, la configuración de correo electrónico entrante dejará de funcionar. Por este motivo, deberás reconfigurar tus cuentas de email entrante antes de ese momento. En cuanto a las llamadas de servicio web, la nueva configuración interrumpirá su ejecución, por lo que también dejarán de funcionar.
Es importante destacar que, al menos por el momento, la degradación de la autenticación básica no afectará las configuraciones existentes del correo electrónico saliente. De todas maneras, te recomendamos reconfigurar estas cuentas también para evitar problemas en el futuro.
InvGate Asset Management & Assets
A pesar de que la degradación no impactará ninguna configuración actual de correo electrónico saliente, te recomendamos reconfigurar estas cuentas. Al hacerlo, evitarás futuros problemas.
Para cambiar a OAuth 2.0, necesitarás crear una nueva aplicación de Outlook en el portal de Microsoft Entra ID (ex Azure AD) y luego deberás actualizar tu código para utilizar las credenciales de las nuevas apps. Para más información sobre este procedimiento, no dudes en contactarnos.
Si necesitas una explicación más detallada, creamos una guía exhaustiva con información acerca de los servicios afectados y los pasos a seguir para evitar interrupciones. Ya debería estar en manos de tu equipo técnico.
Conclusiones
Entendemos que la degradación de Basic Auth puede ser un evento disruptivo. Por eso, estamos comprometidos a ayudar en la transición de nuestros clientes hacia un nuevo método de autenticación con una interrupción mínima.
Por lo tanto, si aun estás usando la autenticación básica, quizás quieras destinar un poco de tiempo a la migración hacia otra opción, ya que esta será discontinuada por Microsoft y es considerada insegura. No olvides que, si eres un cliente de InvGate Service Management, te ayudaremos con esto.
Además, nuestros productos cuentan con diversas características que hacen que la transición sea sencilla. Por ejemplo, te permiten migrar tus conexiones de autenticación básica existentes a OAuth 2.0 con solo un par de clics, ya que admiten EWS Microsoft Modern Auth.
Preguntas frecuentes
¿Por qué Microsoft degrada la autenticación básica?
Hay varias razones por las que Microsoft elimina Basic Auth. Primero, no es tan segura como otros métodos de autenticación existentes. Segundo, no es compatible con funciones modernas como la autenticación multifactor. Finalmente, Microsoft se encuentra migrando hacia un modelo de autenticación unificado que funcione en todos sus productos, y Basic Auth no entra en este esquema.
¿Qué significa la degradación de Basic Auth para mí?
Si estás usando productos de Microsoft que emplean la autenticación básica, necesitarás migrar a un método de autenticación distinto. Esto puede requerir algunos cambios en tu infraestructura pero Microsoft está brindando recursos para ayudar en esta transición.
¿Cuándo está planeada la degradación de Basic Auth?
Microsoft eliminará la autenticación básica a partir del 1 de octubre de 2022. Tienes la opción de solicitar al equipo de Soporte de Microsoft una prórroga hasta el 31 de diciembre de 2022, en las cuentas utilizadas para las configuraciones de correo electrónico entrante (IMAP/POP3) con Autenticación Básica. Si decides llevar a cabo este proceso, debe notificar al equipo de Soporte de InvGate.
¿Cuáles son algunos de los métodos de autenticación existentes?
En cuanto a métodos de autenticación, existen muchas alternativas, incluyendo algunas modernas como la autenticación multifactor. Entre las más populares se encuentran Microsoft Entra ID (ex Azure AD), Kerberos, JWT y SAML.
¿Cuáles son los beneficios de utilizar un método de autenticación moderno?
Hay muchas ventajas de emplear un método moderno de autenticación, como la mejora de la seguridad, la compatibilidad con la autenticación multifactor y una experiencia de autenticación unificada.
¿Qué pasará si sigo utilizando la autenticación básica?
Tu acceso a servicios basados en la web puede verse limitado o restringido. Además, encontrarás dificultades para integrarlos con tecnologías nuevas. Por lo tanto, te recomendamos migrar a otro método de autenticación, tal como OAuth.
¿Cómo migrar hacia otro método de autenticación?
Te recomendamos consultar con tu equipo de IT o con un consultor externo para determinar el mejor método de autenticación para tus necesidades. En líneas generales, OAuth es una buena opción para la mayoría de los usuarios.