我对Azure AD B2C的帐户和身份验证定价有几个问题,它们围绕着对脚本化DOS攻击的关注。
定价页面:https://azure.microsoft.com/en-us/pricing/details/active-directory-b2c/
Azure在创建帐户时通过短信或电话提供电子邮件和多重身份验证。
电子邮件验证包含在验证尝试的基本价格中。 每月最初的50k认证是免费的。 我相信这包括登录身份验证,帐户/密码恢复和注册。 多因素身份验证(短信或电话)是可选的,每次身份验证的固定费率为0.03美元(无免费赠品)。
我不是100%明确的,是什么算作认证。 是否每次尝试都会收费,或者仅在签发令牌的情况下成功进行身份验证? 考虑到给定的定义,我认为它可能是后者(成功和令牌发布):
身份验证:为响应用户发起的登录请求而发出的令牌,或者由代表用户的应用程序发起的令牌(例如令牌刷新,其中刷新间隔是可配置的)
因此,如果攻击者试图进行身份验证并失败,我们是否会对每次尝试收取费用? 多因素也是一样的吗?
如果攻击者有足够的动力,她可以设想自己的电子邮件和短信系统来接收和解析验证码,并使用它们来创建大量欺诈性帐户。 如果攻击者绕过身份验证并创建数百万个帐户,我们是否仍然会收取这些帐户和身份验证的费用?
我们是否有定期删除不完整或非活动帐户的计划任务是否重要?
场景:
答案 0 :(得分:1)
鉴于失败的身份验证尝试不会导致令牌被发出,我认为从收费的角度来看,答案很清楚。
对于您的第二点,您可以做很多工作来缓解有动力的攻击者,并且您必须在Azure内置一些基本缓解措施的基础上开展工作。
话虽如此,该平台将明确满足处理该批量注册的要求,并且持有一百万活跃账户每月将花费约1,050美元,这虽然不是一笔小数目,但不应该破坏银行。
答案 1 :(得分:1)
我还要补充一点,如果一个有动力的攻击者最终导致明显欺诈性的指控打到你的帐户,我要做的第一件事就是让微软打开一个案例。从我的角度来看(不,我不是MSoft的员工或代表)他们将1)对攻击的发生方式非常感兴趣,因此他们可以调查FWD的缓解步骤,2)可能会与客户合作如果他们的系统遭到入侵而导致收费从攻击中侵入您的帐户,那么就收费做“做正确的事”。这可能包括放弃指控或以其他创造性方式与您合作。