A principios de este año, el parlamento escocés fue atacado por lo que se describe como una "Fuerza Bruta" ciberataque. Se dijo que el ataque estaba dirigido a "MSP y personal con direcciones de correo electrónico parlamentarias" .
Este artículo dice “cuentas de correo electrónico Los ataques dirigidos a los ataques, que utilizan el dominio "parliament.scot", son las cuentas de Office 365 alojadas por Microsoft " y la fuerza bruta se describe como " un ataque de escaneo bastante estándar en las cuentas, donde una herramienta continuamente intenta contraseñas diferentes para los inicios de sesión dados ".
Aunque se sugirió que no se habían comprometido las cuentas durante este ataque, el ataque se describió como siendo similar al ataque que se llevó a cabo contra el Gobierno del Reino Unido. En este caso, las cuentas pueden haber sido comprometidas, dijo el Secretario de Comercio Internacional, Liam Fox:
"Hemos visto informes en los últimos días de que incluso las contraseñas de los ministros del Gabinete están a la venta en línea. Sabemos que nuestros servicios públicos están siendo atacados, por lo que no es sorprendente que haya un intento de hackeo en correos electrónicos parlamentarios ".
Suponiendo que tienen Office 365 configurado con AD / Azure AD / DirSync, que es una configuración bastante estándar, probablemente se verán obligados a usar el valor predeterminado no configurable que es :
“Después de 10 intentos fallidos de inicio de sesión (contraseña incorrecta), el usuario deberá resolver un cuadro de diálogo CAPTCHA como parte del inicio de sesión. Después de otros 10 intentos fallidos de inicio de sesión (contraseña incorrecta) y la solución correcta del cuadro de diálogo CAPTCHA, se bloqueará al usuario durante un período de tiempo (60 segundos). Otras contraseñas incorrectas darán como resultado un aumento exponencial (no fijo) en el período de tiempo de bloqueo ".
Si esta configuración bastante estándar se ha comprometido con éxito, esto podría dejar a muchas organizaciones expuestas con un aumento en la escala de la exposición en relación con el tamaño de la organización objetivo.
Mi pregunta es esta:
Suponiendo que el factor 2 no está en uso (para las cuentas que no son administradores, el valor predeterminado no lo tiene habilitado) y la política de construcción de contraseñas es de fuerza promedio, digamos un mínimo de 8 caracteres, < a href="https://technet.microsoft.com/en-gb/library/cc786468(v=ws.10).aspx"> complejidad aplicada , reinicios forzados después de 60 días y un historial de contraseñas de 5 contraseñas
¿Es esta política de contraseña de Office 365 forzada y no configurable lo suficientemente segura para grandes organizaciones públicas y privadas desde un punto de vista práctico?
es decir, Con X cantidad de cuentas, el riesgo de que una cuenta se vea comprometida con esto se convierte en Y.