C’est plutôt l’inverse: le token est lié au compte azure AD (et au compte de l’ordi). Le token est donc effectivement réutilisable si on a pris le login/mot de passe de la personne.
Mais si on a son login/mot de passe: pas besoin de token, on a de toutes façons accès à tout!
Le maillon faible n’est pas le token (enfin si le dev a fait son job)