Mentre è vero che i requisiti di complessità della password riducono lo spazio di ricerca possibile Non sono sicuro che sia esattamente quello che stai cercando.
Forse ti stai riferendo alle abitudini di alcune persone di andare con scelte più prevedibili (come "Password1") quando è necessario avere un mix di lettere minuscole, maiuscole, numeri o simboli. Se è vero che l'implementazione della complessità delle password non impedisce l'uso di alcune password deboli, elimina il peggio del peggiore (come "password" e "123456"). Ma hai ragione che accendere la complessità non è una soluzione alle povere password da sola.
Se si dispone di prove del fatto che qualcuno sta forzando le password su OWA, i registri dei tentativi e dei successi dovrebbero essere sufficienti a dimostrare che la complessità della password non è sufficientemente efficace. Non sono sicuro che la tua dimostrazione di questo attacco in azione farebbe molto di più per influenzare la loro opinione. E se non hai successo, in realtà potrebbe rafforzare la loro convinzione che nulla è sbagliato.
Se il tuo obiettivo è quello di evidenziare punti deboli generali nelle scelte delle password dei tuoi colleghi, allora suggerirei il cracking / analisi delle password piuttosto che la forzatura bruta online. Dovrebbe generare molte password più deboli in un lasso di tempo più breve, che dovrebbe aiutare a evidenziare eventuali problemi di password diffusi.