No bien bien, y por eso lo apuntaba y lo recalcaba albert0bsd: Yo he estado en circunstancias operativas múltiples veces donde, para acceder a un entorno determinado, no bastaban con las credenciales de la plataforma, sino que además:

-   Debía conectarme usando una VPN configurada específicamente para acceder al entorno.

-   Además, si no recuerdo mal, debía usar 2FA (contraseña de 30 segundos mediante app) para poder acceder a la VPN.

-   Y en alguna ocasión, debía acceder además desde una IP fija, la cual autorizaban en el firewall para poder acceder al entorno.

Digamos que con lo anterior, uno ya podría conocer mis claves que no podría acceder al sistema ni en broma con las medidas antes citadas. Y no se trataba de la NASA, con lo que quiero decir que son medidas convencionales dentro de entorno bien controlados de corporaciones que cuidan estos aspectos. Un Exchange debería poder dedicar recursos a implementar medidas como las anteriores.