Come anticipato vari anni fa, Microsoft sta disabilitando la possibilità di accedere ai servizi Office365, ed alla posta elettronica in particolare, tramite i vecchi meccanismi di autenticazione oramai non più sicuri.
In particolare, non è più possibile accedere alla posta elettronica tramite autenticazione tradizionale “semplice”, ma è necessario utilizzare il protocollo OAUTH, quello che MS chiama “modern authentication“.
La vecchia modalità non è più utilizzabile per IMAP, ActiveSync (accesso da smartphone), POP, Powershell, Exchange Web Services, Offline Address Book, Outlook per Win e per Mac (il che significa che le vecchie versioni non sono più in grado di collegarsi). Resta ancora possibile forzarne la disponibilità su SMTP, stante il ritardo di adeguamento di molti software che fanno invio di email e la necessità di utilizzarlo di vecchi dispositivi quali, ad esempio, gli scanner.
La vecchia modalità
La vecchia modalità di accesso prevede che il client di posta mantenga memorizzata al suo interno la password dell’utente, e la comunichi al server MS ad ogni accesso. Questa modalità è oramai ritenuta da tempo insicura, in quanto mantiene una copia della password archiviata in un posto vulnerabile (il programma), richiede continue ritrasmissioni della stessa (ad ogni accesso), e non permette di rimuovere ad una specifica installazione l’accesso ai dati, o di sapere quanti e quali accessi sono attivi (la password è la stessa per ogni programma che ho utilizzato).
La nuova modalità
La nuova modalità prevede che l’utente non fornisca mai ad un programma la propria password, nè che questa venga memorizzata da nessuna parte. Al momento del primo accesso l’utente effettua infatti una autenticazione su una pagina Web di Microsoft, tramite la quale il programma di posta riceve dei codici di sicurezza univoci e personali, che vengono oltretutto rinnovati frequentemente in maniera automatica. In questo modo la password non viene mai inserita o memorizzata in archivi insicuri, ed è sempre possibile verificare e revocare gli accessi attivi al proprio account.
Doppio fattore e/o chiavetta hardware
La nuova modalità è perfettamente compatibile con l’autenticazione a doppio fattore o l’uso di chiavi hardware di sicurezza, la soluzione che Huge! caldamente consiglia a tutti.
Tramite tali modalità l’accesso viene protetto rispetto alla violazione delle proprie credenziali, in quanto per accedere è necessario collegare (via USB o NFC) una chiave di sicurezza al proprio terminale nel caso della protezione hardware, o sbloccare l’accesso con una applicazione attiva sullo smartphone nell’altro.
Solo in questo modo gli account, che ricordiamo sono di fatto raggiungibili da chiunque nel mondo, risultano protetti rispetto alla blanda necessità di “conoscere una password” per accedervi, un livello di sicurezza totalmente inaccettabile rispetto all’importanza che rivestono per noi e per la nostra azienda, ed alla forza che il cybercrimine mette in atto al giorno d’oggi.
Se i suoi account sono ancora accessibili solamente tramite una password la invitiamo a valutare con urgenza il passaggio a queste modalità, contattandoci per definire la soluzione migliore.
Si ricorda, peraltro, che l’uso di protezione a due fattori, in particolare per gli utenti con diritti amministrativi, è obbligatorio per la pubblica amministrazione e la sua mancanza, ad esempio, è alla base del famoso attacco Ransomware che ha messo in ginocchio la Regione Lazio l’anno scorso e che sarebbe stato probabilmente evitato con la scelta di cui sopra.
Client di posta
La nuova modalità di accesso è ampiamente supportata dai client di posta, trattandosi di uno standard industriale in utilizzo da tempo su tantissime piattaforme, ed avendo MS indicato già molti anni fa che questa sarebbe stata l’unica modalità di accesso supportata.
Non solo il client Outlook, che chiaramente è il più integrato con l’ambiente 365, supporta questa modalità, ma anche programmi Open Source quali ad esempio Thunderbird permettono l’accesso IMAP con autenticazione OAUTH. La nuova modalità non impedisce, ma anzi rende più facile e lineare, anche l’accesso IMAP alle caselle di posta “condivise”.
Qualche problema possono averlo i vecchi gestionali mal mantenuti, che per loro necessità debbano leggere una casella di posta elettronica via IMAP e in cui non sia stato implementata l’autenticazione OAUTH. Se ha in uso programmi di questo tipo la invitiamo a verificare con urgenza la necessità di aggiornarli/sostituirli.
Se necessita di migliorare la sicurezza del suo ambiente, sia esso Microsoft 365 o altro, il consiglio è di contattare Huge! Operation Center.
