B2C:是否有针对脚本攻击的保险?
B2C: Is there Insurance Against Scripted Attacks?
我有几个关于 Azure AD B2C 帐户定价和身份验证的问题,它们围绕着对脚本 DOS 攻击的关注。
定价页面:https://azure.microsoft.com/en-us/pricing/details/active-directory-b2c/
Azure 在创建帐户时通过短信或 phone 电话提供电子邮件和多重身份验证。
电子邮件验证包含在身份验证尝试的基本价格中。
每月前 50k 次身份验证是免费的。
我相信这包括登录身份验证、account/password 恢复和注册。
多因素身份验证(短信或 phone 电话)是可选的,每次身份验证的统一费率为 0.03 美元(无免费赠品)。
我不是 100% 清楚的是什么才算是身份验证。
是针对每次尝试收费,还是仅针对颁发令牌的成功身份验证收费?
考虑到给出的定义,我认为可能是后者(成功并发出token):
Authentications:为响应用户发起的登录请求或应用程序代表用户发起的令牌(例如令牌刷新,其中刷新间隔是可配置的)。
因此,如果攻击者尝试进行身份验证但失败了,我们是否会为每次尝试收费?
多因素也一样吗?
如果攻击者有足够的动机,她可以想像地设置自己的电子邮件和短信系统来接收和解析验证码,并利用它们来创建大量的欺诈账户。
如果攻击者绕过身份验证并创建数百万个帐户,我们最终是否仍会为这些帐户和身份验证付费?
我们是否有定期删除不完整或不活动帐户的计划任务重要吗?
场景:
- 7 月 4 日创建了 1,000,000 个欺诈帐户,但我们通过图表 API 于 7 月 5 日 1:00am 找到并删除了它们。
- 我们在每个月的第一天收费。攻击者在我们计费周期的最后一天创建了 1,000,000 个帐户,而我们没有及时发现。
鉴于失败的身份验证尝试不会导致颁发令牌,我认为从收费的角度来看,这方面的答案很明确。
关于你的第二点,你只能做很多工作来缓解有动机的攻击者,你必须在 Azure 内置一些基本缓解措施的基础上工作。
话虽如此,该平台显然可以满足处理注册量的要求,拥有一百万个活跃账户每月将花费约 1,050 美元,这虽然不是一笔小数目,但不应该打破银行。
我还要补充一点,如果有动机的攻击者最终导致明显的欺诈性收费打入您的帐户,我要做的第一件事就是向 Microsoft 立案。从我的角度来看(不,我不是 MSoft 的员工或代表)他们将 1) 对攻击是如何发生和进行的非常感兴趣,以便他们可以调查 FWD 的缓解措施,并且 2) 可能会与客户合作到 "do the right thing" 与收费有关,以防他们的系统受到损害,导致收费从攻击中击中您的帐户。这可能包括放弃收费或以其他创造性的方式与您合作。
我有几个关于 Azure AD B2C 帐户定价和身份验证的问题,它们围绕着对脚本 DOS 攻击的关注。
定价页面:https://azure.microsoft.com/en-us/pricing/details/active-directory-b2c/
Azure 在创建帐户时通过短信或 phone 电话提供电子邮件和多重身份验证。
电子邮件验证包含在身份验证尝试的基本价格中。 每月前 50k 次身份验证是免费的。 我相信这包括登录身份验证、account/password 恢复和注册。 多因素身份验证(短信或 phone 电话)是可选的,每次身份验证的统一费率为 0.03 美元(无免费赠品)。
我不是 100% 清楚的是什么才算是身份验证。 是针对每次尝试收费,还是仅针对颁发令牌的成功身份验证收费? 考虑到给出的定义,我认为可能是后者(成功并发出token):
Authentications:为响应用户发起的登录请求或应用程序代表用户发起的令牌(例如令牌刷新,其中刷新间隔是可配置的)。
因此,如果攻击者尝试进行身份验证但失败了,我们是否会为每次尝试收费? 多因素也一样吗?
如果攻击者有足够的动机,她可以想像地设置自己的电子邮件和短信系统来接收和解析验证码,并利用它们来创建大量的欺诈账户。 如果攻击者绕过身份验证并创建数百万个帐户,我们最终是否仍会为这些帐户和身份验证付费?
我们是否有定期删除不完整或不活动帐户的计划任务重要吗?
场景:
- 7 月 4 日创建了 1,000,000 个欺诈帐户,但我们通过图表 API 于 7 月 5 日 1:00am 找到并删除了它们。
- 我们在每个月的第一天收费。攻击者在我们计费周期的最后一天创建了 1,000,000 个帐户,而我们没有及时发现。
鉴于失败的身份验证尝试不会导致颁发令牌,我认为从收费的角度来看,这方面的答案很明确。
关于你的第二点,你只能做很多工作来缓解有动机的攻击者,你必须在 Azure 内置一些基本缓解措施的基础上工作。
话虽如此,该平台显然可以满足处理注册量的要求,拥有一百万个活跃账户每月将花费约 1,050 美元,这虽然不是一笔小数目,但不应该打破银行。
我还要补充一点,如果有动机的攻击者最终导致明显的欺诈性收费打入您的帐户,我要做的第一件事就是向 Microsoft 立案。从我的角度来看(不,我不是 MSoft 的员工或代表)他们将 1) 对攻击是如何发生和进行的非常感兴趣,以便他们可以调查 FWD 的缓解措施,并且 2) 可能会与客户合作到 "do the right thing" 与收费有关,以防他们的系统受到损害,导致收费从攻击中击中您的帐户。这可能包括放弃收费或以其他创造性的方式与您合作。