image

Apple gaat wachtwoord Exchange Online-accounts van iPhones verwijderen

vrijdag 17 juni 2022, 14:32 door Redactie, 2 reacties

Apple gaat met een komende iOS-update gebruikersnamen en wachtwoorden waarmee gebruikers op een Exchange Online-account inloggen van iPhones en iPads verwijderen. In plaats van standaard inloggegevens zal er voortaan worden ingelogd door middel van OAuth. Dat laat Microsoft in een aankondiging weten.

Basic authentication, waarbij er wordt ingelogd met alleen een gebruikersnaam en wachtwoord, is volgens Microsoft een verouderde industriestandaard die kwetsbaar is voor aanvallen. Het techbedrijf gaat deze standaard dan ook vervangen door "Modern authentication". Dit is Microsofts naam voor OAuth. Bij deze standaard wordt er geen wachtwoord uitgewisseld, maar gebruikgemaakt van een autorisatietoken om de identiteit tussen de gebruiker en serviceprovider te bewijzen.

Apple ondersteunt al jaren OAuth in de eigen Mail-app voor iOS en macOS. Gebruikers die een nieuw Exchange Online-account aanmaken zullen standaard van OAuth gebruikmaken. Wanneer het Exchange Online-account op de iPhone of iPad voor de ondersteuning van OAuth was aangemaakt, blijft het account met Basic authentication inloggen.

Ook wanneer gebruikers op een nieuwe iPhone overstappen blijft Basic authentication in gebruik wanneer er bijvoorbeeld een restore van een back-up plaatsvindt of de bestaande instellingen naar het nieuwe toestel worden overgezet. Om ervoor te zorgen dat ook deze gebruikers van OAuth gebruik gaan maken komt Apple met een iOS-update.

Deze update zal door middel van een "Resource Owner Password Credential (ROPC) grant" de transitie naar OAuth verzorgen. Bij ROPC kan een applicatie de gebruiker via zijn wachtwoord inloggen. Apple Mail zal de gebruiker met zijn inloggegevens bij een identiteitsprovider authenticeren, in dit geval Azure Active Directory. De applicatie krijgt vervolgens OAuth-toegang en de benodigde tokens. Hierna worden de gebruikersnaam en wachtwoord van het toestel verwijderd en het account zo ingesteld om voortaan via OAuth in te loggen. Allemaal zonder dat de gebruiker hier weet van heeft.

De komende dagen zal Microsoft organisaties met iPhone/iPad-gebruikers informeren dat Basic Authentication wordt verwijderd en hoe er toestemming voor de migratie kan worden gegeven. Gebruikers of organisaties moeten deze toestemming namelijk geven, anders zal de overstap naar OAuth niet plaatsvinden. Microsoft en Apple zijn ook van plan om de bovenstaande operatie voor macOS-gebruikers door te voeren, maar wanneer die precies zal plaatsvinden is nog niet bekend.

Image

Reacties (2)
17-06-2022, 16:37 door Anoniem
Een nadeel van "modern authentication" is wel dat als er bij Office365 is ingesteld dat een logon bijv maximaal 1 dag
geldig is, de telefoon om de dag weer om het wachtwoord vraagt. Terwijl dat in de oude situatie niet zo was omdat
ie dan gewoon weer inlogde met het opgeslagen (app-)wachtwoord.
Die instelling doet men vaak om weer het probleem te voorkomen dat vanaf een BYOD laptop de hele (SSO) omgeving
"permanent" open staat na 1 keer inloggen.
20-06-2022, 21:33 door Anoniem
Door Anoniem: Een nadeel van "modern authentication" is wel dat als er bij Office365 is ingesteld dat een logon bijv maximaal 1 dag
geldig is, de telefoon om de dag weer om het wachtwoord vraagt. Terwijl dat in de oude situatie niet zo was omdat
ie dan gewoon weer inlogde met het opgeslagen (app-)wachtwoord.
Die instelling doet men vaak om weer het probleem te voorkomen dat vanaf een BYOD laptop de hele (SSO) omgeving
"permanent" open staat na 1 keer inloggen.
Dat is geen nadeel van Modern Authentication, wat een implementatie is van OAuth 2.0. Dan lijkt er eerder iets mis te gaan met gemaakte instellingen (Conditional Access en/of Enpoint Manager) of met de Access/Refresh tokens (soms door netwerk apparatuur ertussen). Of de client doet rare dingen.
https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-configurable-token-lifetimes
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.