Office365 ログイン失敗時の挙動について

Office365では、ログイン画面でログインに複数回失敗するとロックがかかるようになっているのですが、その情報が以下のサイトに記されているので紹介させていただきます。

https://support.microsoft.com/ja-jp/help/2412085/you-can-t-sign-in-to-office-365-azure-or-intune

上記に複数回と書きましたが、正しくは10回連続失敗で1分ロックとなっています。

その後さらに間違えるとロックアウト時間が長引くということに。もう少ない回数や長い間隔なのかと思っていましたが、意外と間違えても大きな影響が出ないようになっているようですね。

f:id:mohessu:20190719015031p:plain

裏を返すと、パスワードスプレー攻撃などをされた際に、10回以内に成功できてしまうとロックアウトもなくログインできしてしまうということを指していますね。

例えば以下サイトでは、パスワードの利用が多いものTop50などが公開されていたりします。

https://www.teamsid.com/100-worst-passwords-top-50/

パスワードスプレー攻撃やブルートフォース攻撃を受けた時、この中の上位10位までに上がっているものをパスワードにしている場合、すぐに乗っ取られる可能性があるということを示していますね。

Office365のパスワードが破られるとメールやファイルにアクセスされてしまうこととなります。乗っ取りの不安がある場合は、安全な長さのパスワードを用いるか、ADFSでネットワークを限定したり、MFAなどの複合認証を用いて安全性を強化するなどの方法を検討してみるとよいでしょう。

音楽:Dear John