6 月 18 日消息,基本身份验证是用于验证客户端-服务器连接的旧行业标准。然而,近年来,它已被证明是危害数据安全的重要攻击媒介。因此,大多数软件供应商已经放弃老化机制,转而采用基于 OAuth 2.0 的现代身份验证,以提高安全性。
几年前切换到现代身份验证的苹果邮件应用也是如此。但是,这意味着只有在从基本身份验证迁移到现代身份验证之后,添加到设备的新帐户才能享受更高安全性,而旧帐户仍然使用基本身份验证。这个问题甚至扩展到跨新设备和备份传播的原始配置。微软现在正通过与苹果合作一劳永逸地解决这个问题。
苹果将在未来的 iOS 16 更新中集成对资源所有者密码凭证 (ROPC) 授权的支持。此处理程序可确保应用以安全的方式使用存储在设备上的凭据。在此更新之后,邮件应用将使用 ROPC 来利用用户现有的凭据,为带有 Azure Active Directory 的 Exchange Online 帐户创建身份验证流。用户将收到 OAuth 令牌作为响应,其帐户将被配置为永久使用现代身份验证,最后,基本身份验证凭据将被删除。
为了使这种过渡尽可能顺利,微软鼓励租户管理员检查控制和策略,例如条件访问 (CA) 和多因素身份验证 (MFA),这可能需要用户在切换之前输入。同样,微软还鼓励管理员在租户级别授予对邮件应用的资源访问权限,这样每个用户就不必单独批准权限。
但是,如果用户使用移动设备管理 (MDM) 解决方案,则不会自动切换到现代身份验证,这需要与 MDM 供应商协作,以确保在邮件应用程序中使用 ROPC 工作流程。
这种身份验证工作流程的切换将在即将到来的 iOS 16 和 iPadOS 16 更新中发生。同样的功能也将在某个时候出现在 macOS 13 上。使用基于证书的身份验证机制的客户端将不受影响。
