Apple gaat met een komende iOS-update gebruikersnamen en wachtwoorden waarmee gebruikers op een Exchange Online-account inloggen van iPhones en iPads verwijderen. In plaats van standaard inloggegevens zal er voortaan worden ingelogd door middel van OAuth. Dat laat Microsoft in een aankondiging weten.
Basic authentication, waarbij er wordt ingelogd met alleen een gebruikersnaam en wachtwoord, is volgens Microsoft een verouderde industriestandaard die kwetsbaar is voor aanvallen. Het techbedrijf gaat deze standaard dan ook vervangen door “Modern authentication”. Dit is Microsofts naam voor OAuth. Bij deze standaard wordt er geen wachtwoord uitgewisseld, maar gebruikgemaakt van een autorisatietoken om de identiteit tussen de gebruiker en serviceprovider te bewijzen.
Apple ondersteunt al jaren OAuth in de eigen Mail-app voor iOS en macOS. Gebruikers die een nieuw Exchange Online-account aanmaken zullen standaard van OAuth gebruikmaken. Wanneer het Exchange Online-account op de iPhone of iPad voor de ondersteuning van OAuth was aangemaakt, blijft het account met Basic authentication inloggen.
Ook wanneer gebruikers op een nieuwe iPhone overstappen blijft Basic authentication in gebruik wanneer er bijvoorbeeld een restore van een back-up plaatsvindt of de bestaande instellingen naar het nieuwe toestel worden overgezet. Om ervoor te zorgen dat ook deze gebruikers van OAuth gebruik gaan maken komt Apple met een iOS-update.
Deze update zal door middel van een “Resource Owner Password Credential (ROPC) grant” de transitie naar OAuth verzorgen. Bij ROPC kan een applicatie de gebruiker via zijn wachtwoord inloggen. Apple Mail zal de gebruiker met zijn inloggegevens bij een identiteitsprovider authenticeren, in dit geval Azure Active Directory. De applicatie krijgt vervolgens OAuth-toegang en de benodigde tokens. Hierna worden de gebruikersnaam en wachtwoord van het toestel verwijderd en het account zo ingesteld om voortaan via OAuth in te loggen. Allemaal zonder dat de gebruiker hier weet van heeft.
De komende dagen zal Microsoft organisaties met iPhone/iPad-gebruikers informeren dat Basic Authentication wordt verwijderd en hoe er toestemming voor de migratie kan worden gegeven. Gebruikers of organisaties moeten deze toestemming namelijk geven, anders zal de overstap naar OAuth niet plaatsvinden. Microsoft en Apple zijn ook van plan om de bovenstaande operatie voor macOS-gebruikers door te voeren, maar wanneer die precies zal plaatsvinden is nog niet bekend.
Bron: security.nl