Vedi “Account locked – too many incorrect passwords” su Microsoft/Outlook? Qui trovi la causa reale e una soluzione che fa sparire i blocchi ricorrenti: creare un alias, renderlo primario e disabilitare l’accesso con l’indirizzo preso di mira, senza perdere nessuna e‑mail.
Cos’è il blocco per troppi tentativi e perché compare
Quando Microsoft rileva molti tentativi di accesso non riusciti sul tuo profilo, entra in azione lo smart lockout: un algoritmo che riconosce schemi sospetti (ad esempio login falliti da indirizzi IP distribuiti nel mondo o in rapida sequenza) e blocca temporaneamente l’account per proteggerti da attacchi di forza bruta e credential stuffing.
- Nessun numero fisso di tentativi: la soglia non è pubblica e si adatta all’andamento degli errori; in pratica può bastare un volume contenuto di tentativi, se distribuito nel tempo, per far scattare il blocco.
- Durata variabile: di norma parte da pochi minuti, può estendersi a ore e, nei casi più insistenti, a qualche giorno. Il blocco si risolve con una 2FA valida o attendendo la fine del timer.
- Messaggi tipici: “Account locked – too many incorrect passwords”, “Abbiamo rilevato un uso insolito del tuo account” o richieste ripetute di verifica con codice.
In sintesi: non è colpa tua. Qualcuno (o qualcosa) ha il tuo indirizzo e prova password a caso; Microsoft ti protegge bloccando l’accesso finché l’attività anomala non si esaurisce o finché non dimostri che sei davvero tu.
La soluzione che evita i blocchi ricorrenti: cambiare identità di accesso
Reimpostare la password o superare il controllo 2FA sblocca l’account, ma spesso l’attività dei bot riparte poco dopo, provocando nuovi blocchi. Quello che risolve alla radice è creare un nuovo alias (un indirizzo aggiuntivo del tuo stesso account), renderlo primario e disabilitare l’accesso con l’alias storico preso di mira. Così i bot continueranno a colpire un indirizzo che non può più essere usato per entrare e i loro tentativi non verranno più conteggiati ai fini dello smart lockout.
Cos’è un alias (e cosa non è)
- È un indirizzo e‑mail aggiuntivo associato al tuo stesso account Microsoft (MSA): stesso archivio, stessi contatti, stessi abbonamenti e OneDrive.
- Non è un nuovo account: non perdi nulla e non devi migrare dati.
- Puoi avere più alias (ad esempio
nome@outlook.com,nome.cognome@outlook.com, o un indirizzo esistente di un altro provider).
Procedura rapida: crea alias, impostalo come primario e disabilita l’accesso al vecchio
- Crea un nuovo alias di accesso
Vai nelle impostazioni dell’account Microsoft → sezione Il tuo info → Gestisci le preferenze di accesso (o “Add an alias”). Aggiungi un indirizzo nuovo (Outlook.com) o un’e‑mail esistente come alias. - Rendilo “primario”
Nella stessa pagina, imposta Rendi primario accanto al nuovo indirizzo: da ora sarà quello usato per l’accesso e come identità principale. - Disabilita il sign‑in sull’alias storico
Sempre in Preferenze di accesso, togli la spunta a Può essere usato per accedere per l’indirizzo bersagliato dagli attacchi. Continuerà a ricevere posta e potrai usarlo come indirizzo Da: quando invii, ma non consentirà più il login.
Risultato pratico: gli script automatici colpendo il vecchio indirizzo non generano più tentativi di accesso sul tuo account, quindi spariscono i blocchi ricorrenti. Tu continui a ricevere e inviare e‑mail come prima.
Guida passo‑passo dettagliata
Prerequisiti
- Aver sbloccato l’account con codice 2FA o attendendo il timer.
- Avere almeno un metodo di verifica valido (telefono, e‑mail secondaria o app Authenticator).
- Avere accesso a un browser desktop o mobile aggiornato.
Aggiungere un alias
- Accedi al portale dell’account Microsoft e apri la scheda Il tuo info.
- Seleziona Gestisci le preferenze di accesso (Sign‑in preferences).
- Clicca su Aggiungi alias (Add an alias):
- puoi creare un nuovo indirizzo
@outlook.com(consigliato, più “pulito” rispetto a indirizzi esistenti esposti in passato), oppure - aggiungere un indirizzo e‑mail esterno che possiedi già (ad esempio
tuonome@example.com). In questo caso potrebbe essere richiesta una conferma sull’indirizzo esterno.
- puoi creare un nuovo indirizzo
- Completa eventuali verifiche richieste (codice via e‑mail/telefono).
Impostare l’alias come primario
- Nell’elenco degli alias, individua quello appena aggiunto.
- Seleziona Rendi primario (Make primary).
- Verifica che, in alto, l’identità principale mostri ora il nuovo indirizzo.
Disabilitare l’accesso con l’indirizzo storico
- Nella lista alias, trova l’indirizzo che viene colpito dai tentativi.
- Deseleziona la voce Può essere usato per accedere (Can be used to sign in).
- Conferma la scelta se richiesto. L’alias:
- continuerà a ricevere e‑mail nella stessa casella (è un “indirizzo di recapito”),
- potrà essere scelto come indirizzo Da: quando invii nuovi messaggi,
- non potrà più essere usato da te (o dai bot) per eseguire il login.
Verifiche consigliate dopo la modifica
- Accesso web: esci ed effettua il login usando solo il nuovo alias.
- App e dispositivi: la maggior parte delle app resta collegata finché i token restano validi; se un’app chiede di accedere di nuovo, usa il nuovo indirizzo. In Outlook, controlla che il campo Da: permetta di scegliere anche l’indirizzo storico.
- Messaggi in arrivo: invia un’e‑mail di prova al vecchio indirizzo e verifica che arrivi nella casella.
Perché questa strategia funziona davvero
- Contatore azzerato: lo smart lockout conta i tentativi falliti verso identità di accesso valide. Se l’indirizzo bersagliato non è più un vettore di login, i tentativi dei bot non incrementano il contatore di blocco.
- Nessuna perdita: l’alias storico resta un indirizzo di recapito; non perdi messaggi, alias o contatti.
- Difesa “by design”: non stai indebolendo la sicurezza (il lockout non è disattivabile a livello globale); stai solo cambiando la porta d’ingresso riducendo la superficie attaccabile.
Cosa aspettarsi: tempi, durata e comportamento del blocco
Il blocco è temporaneo e si attenua quando i tentativi cessano o quando dimostri la tua identità. Nelle ore o nei giorni successivi, soprattutto se i bot insistono, potresti vedere nuove richieste di verifica se usi ancora l’alias colpito: dopo aver completato la procedura, queste interruzioni si ridurranno fino a scomparire.
Ricorda che non esiste una “soglia ufficiale” di tentativi: è proprio l’imprevedibilità il meccanismo che ostacola gli aggressori.
Limiti e aspetti da tenere presenti
| Cosa NON è possibile fare | Motivo |
|---|---|
| Disattivare del tutto il meccanismo di lockout | È una misura di sicurezza obbligatoria per tutti gli account consumer Microsoft. |
| Conoscere esattamente quante prove provocano il blocco | La soglia è adattiva per ostacolare gli aggressori. |
| Nascondere totalmente l’e‑mail storica ai bot | Se l’indirizzo è in elenchi pubblici o in leak, riceverà comunque spam/phishing; ma non potrà più essere usato per accedere. |
| Usare alias “usa e getta” per il login di lungo periodo | Meglio un alias stabile e “pulito”, protetto da 2FA e passkey, per evitare rotture su app e servizi collegati. |
| Disabilitare l’accesso all’unico alias rimasto | Devi sempre avere almeno un alias abilitato al sign‑in per non auto‑escluderti dall’account. |
Buone pratiche di sicurezza correlate
- Conserva 2–3 metodi di verifica (telefono, app Authenticator, e‑mail secondaria). Così se perdi uno strumento, non resti bloccato.
- Passa a passwordless o passkey dove possibile. L’accesso con passkey (FIDO2/WebAuthn) e notifiche Approva/Non approvare nell’app Authenticator riducono il valore della password per gli attaccanti.
- Controlla l’“Attività recente” nell’account: se vedi dispositivi o app sospetti, revoca i token e forza una nuova autenticazione.
- Proteggi i dispositivi: sistema operativo e antivirus aggiornati; un malware può riutilizzare token rubati e generare tentativi “anomali”.
- Allerta phishing: non confermare codici 2FA a richieste inattese. Se ricevi prompt bombing nell’Authenticator, nega e modifica subito la password.
Domande frequenti
Perdo e‑mail o contatti cambiando alias di accesso?
No. L’alias cambia solo la “chiave d’ingresso”. Tutti i dati restano nel medesimo account.
Posso continuare a inviare e‑mail dal vecchio indirizzo?
Sì. Anche con il login disabilitato per l’alias storico, puoi selezionarlo nel campo Da: in Outlook. In caso non compaia, aggiungilo tra gli indirizzi di mittente consentiti nelle impostazioni dell’app.
Devo creare un nuovo account Microsoft?
No. È proprio il vantaggio della soluzione con alias: niente migrazioni, niente perdita di cronologia, abbonamenti o OneDrive.
Gli attacchi continueranno?
È probabile che i bot continuino a colpire l’indirizzo vecchio, ma non potranno più incidere sul contatore di lockout. Per questo i blocchi “spariscono” dalla tua esperienza quotidiana.
Uso un indirizzo non‑Outlook come alias. Va bene lo stesso?
Sì, purché tu possieda e controlli quell’indirizzo. Valuta però la creazione di un alias @outlook.com “pulito” se il tuo dominio è già molto esposto in elenchi pubblici.
Che differenza c’è tra account personali e aziendali/scuola?
Questa guida è per account personali (MSA). Negli ambienti lavoro/scuola (Entra ID) gestisce tutto l’amministratore: policy di lockout, reset e metodi di accesso. Se il tuo indirizzo finisce in lockout continuo, contatta l’IT per valutare alias UPN o strategie equivalenti (ad es. blocco di login con il proxy address bersagliato).
Le app già connesse smetteranno di funzionare?
Di norma no: i token esistenti restano validi finché scadono. Quando un’app richiede il login, usa il nuovo alias. Se vedi errori, esegui Esci → Accedi con il nuovo indirizzo e completa la 2FA.
Non trovo “Può essere usato per accedere”. Dove guardo?
La voce può chiamarsi Sign‑in preferences/Can be used to sign in e si trova accanto a ciascun alias nell’area alias dell’account. Assicurati di essere nella sezione Il tuo info → Gestisci le preferenze di accesso.
Confronto soluzioni: pro e contro
| Soluzione | Vantaggi | Limiti | Quando usarla |
|---|---|---|---|
| Reimpostare solo la password | Rapido, nessun cambio visibile | I bot continuano; possibili nuovi blocchi | Se l’episodio è isolato |
| Alias nuovo + primario + disabilitare login al vecchio | Elimina i blocchi ricorrenti; nessuna perdita dati | Richiede un minimo di configurazione | Consigliato quando gli attacchi sono costanti |
| Nuovo account | Identità “vergine” | Migrazione dati, abbonamenti e app: complesso | Solo in casi estremi e pianificati |
Schema operativo (checklist)
- ✔ Sblocca l’account con 2FA o attendi il timer.
- ✔ Aggiungi un alias nuovo, preferibilmente
@outlook.com“pulito”. - ✔ Imposta l’alias nuovo come primario.
- ✔ Disabilita l’accesso con l’alias storico bersagliato.
- ✔ Esegui un login di prova con il nuovo alias.
- ✔ Verifica ricezione e invio (campo Da:) con il vecchio indirizzo.
- ✔ Aggiorna metodi 2FA e attiva passkey/passwordless.
- ✔ Rivedi l’Attività recente e rimuovi dispositivi/app sospette.
Risoluzione problemi: errori comuni e soluzioni
- Non riesco ad aggiungere l’indirizzo esterno come alias
Assicurati di poter ricevere e confermare la verifica su quell’indirizzo. In caso di rifiuto, crea un alias@outlook.comnuovo. - L’opzione “Rendi primario” non è disponibile
A volte l’operazione richiede la conferma di proprietà dell’alias o la rimozione di conflitti (p.es. un alias uguale già usato su altro account). - Outlook mobile continua a segnalare errore
Apri l’app, vai in Account → Rimuovi account, poi aggiungilo di nuovo usando il nuovo alias e completa la 2FA. - Ricevo ancora molte mail spam all’indirizzo vecchio
È normale: l’indirizzo resta pubblico. Attiva filtri anti‑spam e regole; valuta mascheramento quando ti registri a nuovi servizi.
Suggerimenti avanzati per una sicurezza più forte
- Alias “di servizio”: crea alias tematici (es. acquisti online) e non abilitarli al sign‑in. Se finiscono in leak, non impattano il login.
- Passkey su dispositivi principali: salva almeno una passkey su un dispositivo sicuro (es. chiave FIDO2 o dispositivo mobile). Riduce drasticamente i rischi di phishing.
- Autorizzazioni app: rivedi periodicamente le app con accesso alla posta e rimuovi quelle che non usi.
- Backup metodi di recupero: stampa o conserva in luogo sicuro i codici di recupero, se disponibili.
Esempio pratico: dal blocco cronico alla normalità
Mario usa mario.rossi@outlook.com da anni. Negli ultimi mesi vede spesso l’avviso di account bloccato. Aggiunge m.rossi@outlook.com come alias, lo rende primario e disabilita il login al vecchio indirizzo. Da quel momento accede solo con m.rossi@outlook.com; l’indirizzo storico continua a ricevere e‑mail e può essere scelto come mittente. I bot provano ancora a “forzare” mario.rossi@outlook.com, ma non scattano più i blocchi. Fine dei disservizi.
Quando chiedere aiuto all’assistenza o all’IT
- Account aziendale/scuola: le policy sono gestite dall’organizzazione; contatta l’amministratore per alias/UPN o regole di lockout.
- Perdita di accesso a tutti i metodi 2FA: avvia la procedura di recupero account e preparati a verifiche manuali.
- Attività sospetta non riconosciuta: cambia subito la password, revoca le sessioni attive e verifica inoltri/regole di posta malevole.
In breve
Il blocco per tentativi errati non si può disattivare (ed è un bene), ma si può azzerarne l’effetto sui tuoi accessi cambiando identità di login: crea un alias (o usane uno già presente), rendilo primario e impedisci all’indirizzo bersagliato di essere usato per accedere. Continui a ricevere messaggi sull’indirizzo storico, puoi usarlo come mittente e, soprattutto, scompaiono i blocchi continui.
Nota terminologica: nell’interfaccia Microsoft i nomi delle voci possono variare leggermente (ad esempio “Il tuo info”, “Preferenze di accesso”, “Può essere usato per accedere”, “Rendi primario”), oppure essere in inglese (Your info, Sign‑in preferences, Can be used to sign in, Make primary). Se non trovi un’opzione, cerca nella sezione degli alias del tuo account.
Checklist veloce da stampare
- ☐ Accedi → Il tuo info → Gestisci le preferenze di accesso.
- ☐ Aggiungi alias (nuovo
@outlook.comconsigliato). - ☐ Rendi primario il nuovo alias.
- ☐ Sul vecchio alias: togli Può essere usato per accedere.
- ☐ Prova login con il nuovo indirizzo.
- ☐ Controlla invio/ricezione e aggiorna 2FA + passkey.
Riepilogo tecnico per power user
- Modello di minaccia: brute force, credential stuffing, password spraying su identità note.
- Contromisura: rotazione dell’identità di sign‑in tramite alias primario e de‑autorizzazione del sign‑in per gli alias esposti.
- Compatibilità: alias disabilitato al sign‑in resta proxy address per posta in arrivo e può essere usato come From: (mittente) nelle app supportate.
- Impatto su token: i token esistenti restano validi; al rinnovo verrà negoziata l’identità primaria nuova.
Conclusione
Il blocco “Account locked – too many incorrect passwords” è un segnale di difesa efficace, ma può diventare un fastidio se i bot continuano a prendere di mira il tuo indirizzo storico. Con la strategia alias nuovo → primario → disabilitare login al vecchio ottieni il meglio di due mondi: massima continuità operativa e riduzione a zero dei blocchi. Integra con 2FA, passkey e revisioni periodiche dell’attività recente per una protezione completa.