All'inizio di quest'anno il parlamento scozzese era attaccato da ciò che veniva descritto come una "forza bruta" cyber-attacco. Si è detto che l'attacco aveva come bersaglio "MSP e personale con indirizzi email parlamentari" .
Questo articolo dice "account di posta elettronica mirati agli attacchi, che usano il dominio "parlament.scot", sono gli account di Office 365 ospitati da Microsoft " con la forza bruta stessa descritta come " un attacco di scansione abbastanza standard sugli account, in cui uno strumento continua prova diverse password per i dati di accesso ".
Sebbene sia stato suggerito che nessun account sia stato compromesso durante questo attacco, l'attacco è stato descritto come simile al attacco che è stato effettuato contro il governo del Regno Unito. In questo caso l'account potrebbe essere stato compromesso, il segretario del commercio internazionale Liam Fox ha detto:
"Negli ultimi giorni abbiamo visto resoconti delle password dei ministri di Gabinetto in vendita online. Sappiamo che i nostri servizi pubblici sono attaccati, quindi non sorprende affatto che ci debba essere un tentativo di hackerare in e-mail parlamentari. "
Supponendo che Office 365 sia configurato con AD / Azure AD / DirSync, che è una configurazione abbastanza standard, sarà probabilmente obbligato a utilizzare predefinito non configurabile che è :
"Dopo 10 tentativi di accesso non riusciti (password errata), l'utente dovrà risolvere una finestra di dialogo CAPTCHA come parte dell'accesso. Dopo altri 10 tentativi di accesso non riusciti (password errata) e risoluzione corretta della finestra di dialogo CAPTCHA, l'utente verrà bloccato per un periodo di tempo (60 secondi). Ulteriori password errate determineranno un aumento esponenziale (non fisso) nel periodo di blocco. "
Se questa configurazione abbastanza standard è stata compromessa con successo, questo potrebbe lasciare molte org esposte con l'esposizione crescente in scala rispetto alla dimensione dell'org target.
La mia domanda è questa:
Supponendo che il fattore 2 non sia in uso (per gli account non admin l'impostazione predefinita non è abilitata) e il criterio di costruzione della password ha una forza media, diciamo un minimo di 8 caratteri, < a href="https://technet.microsoft.com/en-gb/library/cc786468(v=ws.10).aspx"> complessità applicata , resettazioni forzate dopo 60 giorni e una cronologia delle password di 5 Le password.
Questa politica di password di Office 365 applicata e non configurabile è sufficientemente sicura per grandi organizzazioni pubbliche e private da un punto di vista pratico?
vale a dire. Con la quantità X di account, il rischio che un account venga compromesso diventa Y.