De Amerikaanse overheid roept alle organisaties op die van Exchange Online gebruikmaken om voor 1 oktober Modern Auth en multifactorauthenticatie in te schakelen mocht dat nog niet het geval zijn. Microsoft zal vanaf die datum Basic Authentication, waarbij er wordt ingelogd met alleen een gebruikersnaam en wachtwoord, bij klanten gaan uitschakelen.

Microsoft zal dan willekeurig klanten kiezen die nog via bijvoorbeeld POP of IMAP op de mailomgeving inloggen. Vervolgens krijgen deze klanten een waarschuwing dat Basic Auth zal worden uitgeschakeld. Microsoft verwacht dat dit gehele proces eind dit jaar is afgerond. Vanwege de impact worden organisaties nu al opgeroepen om hun zaken voor 1 oktober op orde te hebben.

Die oproep wordt nu door het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security herhaald. De oproep is gericht aan federale overheidsinstanties die nog van Basic Auth gebruikmaken. Vorig jaar kwam de Amerikaanse president Biden met een "Executive Order" die het gebruik van multifactorauthenticatie voor federale overheidsinstanties verplicht.

Basic Auth werkt niet samen met multifactorauthenticatie wat sinds vorig jaar verplicht is. Voor overheidsorganisaties die nog niet over zijn heeft het CISA nu advies uitgebracht (pdf). Hoewel dit advies op federale Amerikaanse overheidsinstanties is gericht, roept het CISA alle organisaties op om voor 1 oktober naar Modern Auth over te stappen.