Lo uso già l'authenticator da smartphone, ma funziona solo per gli accessi via web. Per l'imap bisogna usare una password apposita per le app fornita da MS. Un attacco brute force non so quanto sia fattibile. Credo comunque che farò un altro alias di posta e disabilito l'accesso all'indirizzo "leakato" (era finito nella Collection 1 mi sembra).