Uitfasering basisauthenticatie
Samenvatting
Microsoft schakelt basisauthenticatie (Basic Authentication) voor e‑mail in maart 2026 definitief uit. Systemen die nog met gebruikersnaam/wachtwoord over SMTP of oude protocollen verbinden, zullen dan stoppen met werken. In deze blog leggen we uit wat er verandert, waarom dit gebeurt en hoe je tijdig controleert of jouw systemen geraakt worden—ook als die bij externe partijen in beheer zijn.
Wat verandert er?
Basisauthenticatie is een verouderde methode om in te loggen op e-maildiensten. Hierbij worden gebruikersnaam en wachtwoord simpelweg meegestuurd bij elke verbinding. Dit maakt het kwetsbaar voor aanvallen zoals credential stuffing en man-in-the-middle.
Microsoft vervangt deze methode door moderne authenticatie (OAuth 2.0), waarbij tokens worden gebruikt en extra beveiligingslagen zoals Multi-Factor Authentication (MFA) mogelijk zijn. Dit verhoogt de veiligheid van accounts en data aanzienlijk.
Basisauthenticatie: applicatie stuurt bij elke verbinding een gebruikersnaam en wachtwoord mee. Dat is gevoelig voor credential stuffing, phishing en interceptie.
Moderne authenticatie (OAuth 2.0 + OpenID Connect): de applicatie krijgt een tijdelijk token (en geen wachtwoord) na een beveiligde aanmeldflow. Dit ondersteunt MFA, conditional access, device‑/locatie‑policies en granulaire toestemmingen (least privilege).
Gevolg: systemen die alleen basisauthenticatie ondersteunen, moeten worden geüpdatet, hergeconfigureerd of vervangen.
Waarom doet Microsoft dit?
De reden is simpel: veiligheid. Basisauthenticatie is niet meer van deze tijd en vormt een groot risico. Cyberaanvallen op scholen en het onderwijs als geheel nemen toe en Microsoft wil voorkomen dat verouderde protocollen een zwakke plek blijven.
Waarom is OAuth 2.0/Moderne authenticatie beter dan Basic Auth?
- Geen wachtwoorden in clients
Clients bewaren of versturen geen statische wachtwoorden; ze werken met korte‑levensduur tokens (en optioneel refresh tokens). - MFA & Conditional Access
Je kunt MFA afdwingen en regels instellen op basis van locatie, apparaat‑compliance, risico, tijdstip, etc. - Scope‑based toegang (least privilege)
Een app vraagt alleen de nodige rechten/scopes; je hoeft geen alles‑of‑niets account te geven. - Veilig intrekken
Je kunt toestemming of tokens intrekken zonder wachtwoorden te delen of te wijzigen. - Audit & transparantie
Aanmeldingen en app‑toestemmingen zijn logbaar en inzichtelijk, wat beheer en forensics verbetert.
Â
Welke systemen kunnen geraakt worden?
- Websites en contactformulieren die een e-mailadres van uw organisatie gebruiken en hierop authenticeren met een gebruikersnaam en wachtwoord. Bijv. nieuwsbrief@organisatie.nl
- Printers en MFP’s die gebruik maken van een e-mailadres van uw organisatie voor het verzenden van scanopdrachten (Scan2mail).
- E-mailsystemen binnen bijv. een HR-systeem of bijv. ParnasSys of systemen die waarschuwingen versturen met een e-mailadres van de organisatie.
- Eigen (legacy) applicaties, PowerShell‑scripts, integraties die via SMTP AUTH of oude API’s mailen.
- Monitoringtools of NVR/CCTV die mailalerts sturen.
Veel van deze systemen zijn in het onderwijs in beheer bij externe leveranciers (websitebouwer, printerpartij, administratiekantoor). Om te voorkomen dat er onverhoopte verstoringen optreden is het raadzaam om na te vragen wat voor authenticatiemethode er nu geconfigureerd is op bovengenoemde systemen en wat ervoor nodig is om dit aan te passen. Dit kan variëren tot het aanpassen van een instelling tot het moeten updaten van bijv. de firmware van een apparaat. Het is tevens mogelijk dat sommige systemen deze nieuwe authenticatiemethode niet ondersteunen.
Â
Wacht niet te lang!
Aangezien de afhankelijkheden naar externe partijen groot zijn is tijdige communicatie belangrijk om voldoende tijd te hebben systemen aan te passen of maatregelen te nemen! Download hieronder een voorbeeldbericht dat u naar een externe partij kunt toesturen m.b.t. de uitfasering van basisauthenticatie.
