Почему схема Basic Auth считается устаревшей и небезопасной?

Схема Basic Auth считается устаревшей и небезопасной по нескольким причинам:

• Передача имени пользователя и пароля в каждом запросе. www.virtuesecurity.com www.securitylab.ru Несмотря на кодирование с помощью Base64, это не добавляет безопасности, так как данные легко можно декодировать. www.virtuesecurity.com
• Отсутствие защиты от брутфорса. www.virtuesecurity.com В системах, доступных извне, это может представлять повышенный риск, так как любой пользователь интернета может пытаться подобрать пароль в течение недель, месяцев или лет. www.virtuesecurity.com
• Неподдержка функции выхода из системы. www.virtuesecurity.com Хотя есть обходные пути, они поддерживаются не всеми браузерами. www.virtuesecurity.com
• Невозможность лёгкого сброса пароля. www.virtuesecurity.com Если пользователь теряет учётные данные, он должен иметь возможность немедленно сбросить пароль, но в большинстве реализаций Basic Auth это невозможно. www.virtuesecurity.com
• Уязвимость к атакам повторного использования. www.tutsdrupal.com Поскольку Basic Auth не шифрует учётные данные пользователя, важно, чтобы трафик всегда передавался через зашифрованную сессию SSL. www.tutsdrupal.com

В 2020 году Microsoft объявила, что со второй половины 2021 года прекратит поддержку Basic Auth в Office 365, заменив её на Modern Authentication. www.zagtech.com