On aika sanoa hyvästit – tällä kertaa legacy authille
”VIHDOINKIN!”, huusi tietoturvasta vastaava.
”Mitä aktuaalista **ttiä nyt taas!?”, huusivat kaikesta muusta vastaavat.
Ja kysehän oli siitä, kuinka Microsoft on jo hyvän tovin uhkaillut sulkevansa kaikki vanhat turvattomat autentikointiprotokollat Exchange Online -palvelusta.
Asia on sinänsä varsin hyvä, ja oikeasti odotettu. Nämä vanhan mallin autentikointiin nojaavat IMAP, POP ym. trendikkään seksikkäät yhteysmenetelmät ovat eittämättä yksi eniten käytetyimmistä silloista, joiden yli hämäräperäiset – ja vähemmän härmäläisperäiset – pimeyden edustajat ovat tunkeutuneet tietoturvallisuuden tunnetta murentamaan monissa organisaatioissa. On siis jo aika muurata nämä umpeen, laittaa laudat päälle ja keskittyä modernia pääsynvalvontaa tarjoavien pääovien koristeluun. Suotakoon siis tämä ilo kaikille tietoturvasta vastaaville, se on perusteltua.
Ja sitten tulee se Mutta. Ne kaikesta muusta vastaavat henkilöt alkavat kieriä öitään tuskallisten painajaisten keskellä. Murhetta aiheuttavat tietysti kaikki ydinprosesseissa käytettävät järjestelmät, jotka nojaavat jollain muotoa edelleen esim. IMAP-tyyppiseen sähköpostien kulutukseen. Tällaisia lienevät mm. tikettijärjestelmät tai CRM-järjestelmät. Ja näiden osalta nyt alkaa olla sitten kiire, koska 1.10.2022 tämä tapahtuu.
Mitäs sitten tapahtuu kun tuo laskuri menee nolliin?
Siinä käy niin, että sekä bändin basisti että rumpali lopettaa hommat eikä soitto soi. Sähköpostia käyttävät järjestelmät eivät enää vastaanota viestejä. Lähettäminen saattaa jatkua, SMTP Auth kun ei ole vielä uhattuna. Joskin vahvasti suositellaan siitäkin päästämään irti, ja siirtymään esim. Microsoft Graph API-rajapintaa hyödyntävään toteukseen.
Entäs tavan käyttäjät, jotka ajavat vielä näitä vanhoja yhteyskäytäntöjä työasemillaan tai kännyköillään?
Toivotamme heidät tervetulleeksi vuoteen 2022 sekä moderniin yhteiskuntaan, jossa faksikaan ei enää laula. Sitä voisi kuvitella, että tämä sekoilu olisi jo lopetettu. Mutta jos ei, niin nyt on korkea aika. Jos käyttäjän sähköposti lakkaa toimimasta tämän muutoksen myötä, sähköpostitilin poistaminen ja lisääminen uudelleen luultavasti ratkaisee asian. Myös esim. Outlook-mobiilisovellusta suositellaan käytettäväksi, jos vanha uskollinen sähköpostiratsu ei enää hirnahda syssymmällä mobiililaitteessa. Toki näistä kannattaa ehkä viestiä käyttäjille, jos on syytä epäillä tämän aiheuttavan hammaskiilteen armotonta kuritusta.
Ja mitäs nyt sitten pitäisi tehdä?
- Lukaista aiheeseen liittyvä artikkeli, mikäli on vähänkään syytä epäillä, että tämä saattaisi koskettaa juuri sinua tai organisaatiotasi. Tarkemmat tiedot siis suoraan Tehtaan dokumentaatiosta:
- Selvittää onko vielä käytössä näitä poistuvia yhteyskäytäntöjä
- Siirtyä välittömästi käyttämään jotain Modern Authenticationia tukevaa menettelyä hyödyntävään yhteyskäytäntöön. Myös esim. IMAPin voi saada tätä tukemaan OAuthin kanssa, jos oikeasti on pakko.
- Viettää kesälomaa rauhallisesti laiturin nokassa tietäen, että tämäkin Tehtaan asettama miina on purettu syksyn työlistalta pois, tai ainakin sille on hyvä suunnitelma.
Jos tämä ei omin kätösin meinaa onnistua, myös meiltä voi pyytää apua. Sitä varten me täällä ollaan.
Alla vielä pieni esimerkki mitä tehdään ja mitä se voisi maksaa, niin ei tuu varpaat pipiksi renkaiden potkimisesta
- Autetaan selvittämään onko ympäristössänne käytössä vanhoja autentikointimenetelmiä
- Tehdään suunnitelma miten ne saadaan korvattua moderneilla autentikointimenetelmillä
- Autetaan pääsemään alkuun keskusteluissa sovellustoimittajien kanssa miten sovelluksen osalta voidaan muuttaa yhteyskäytäntöjä
Hinta 590€ (alv0%), sillä saa selvyyden asiaan, ja kasan sekä vanhoja että huonoja vitsejä kaupan päälle.
– Pilvikuiskaaja Riku Mustila