修改
这不是重复的:另一个问题是关于注册,这是关于登录。更重要的是:该问题与电子邮件验证有关,此问题与 quotas / throttling 有关。这些是中间件策略的不同元素。尽管后果可能相似,但问题本身和解决方案也不同。请删除重复的标志
如果恶意用户使用她的脚本对您的使用AD B2C的应用程序/网站进行登录/注销,则在合理的短期内可以导致数百万次登录。
因为将根据登录次数向您收费(免费<5万,然后付款),所以这不是一个快乐的时光。
问题
有什么办法可以防止上述情况发生? (限制付款不是一种选择,在这种情况下,您的网站遭受攻击后将无法提供登录用户流程)
答案 0 :(得分:1)
我没有足够的声誉来发表评论,因此我被迫发表(部分)答案……我试图寻找其他与您联系的方式,但我找不到方法。 / p>
我们想尽办法解决这个问题的最好办法就是设置预算,以便在发生这种情况时得到警报。
编辑:我刚刚从网络管理员那里发现,他帮助设置的预算似乎不够细致,无法让我们将其设置为根据每日费用来提醒我们。他认为,首先输入一个等于预期每日使用量的小百分比就足以使这项功能对我们有用,但事实并非如此……我的部分答案变成了无答案。抱歉。
但是,我也对这个问题的正确答案感兴趣。在上一个计费周期内,我们看到在2019年4月9日至11日左右发行的代币数量激增。但是,审核日志只能追溯到7天,因此我们无法尝试研究原因。希望将来会发送警报,以便可以在不再提供日志之前研究此问题。
似乎我们也开始看到成本从3月20日左右开始略有增加,并且当时我们没有发布内部版本,所以我想知道微软方面是否有问题导致我们体验到这些问题。您是否在相应的时间范围内看到了相同的峰值?如果是这样,我们可能需要为MS买一张票以进行研究,并可能向我们退还款项...我们的费用大约是上一张帐单上的基本认证费用$ 1000,而且我们是一家小公司。我们原本以为我们会在50,000个免费身份验证的限制之内。
最终的解决方案是Microsoft为门户网站提供一种方法,使我们可以阻止向同一用户发行的大量令牌。如果您想为此提供用户语音反馈,请在此处发布,以便我们全体团队对其进行投票。
答案 1 :(得分:0)
Azure AD B2C具有针对您所描述的恶意攻击的缓解技术,并且B2C会在一段时间内自动锁定用户。
目前,使用智能锁定(如上面的链接中所述),管理员无法控制尝试次数。但是,如果您希望能够进行配置,甚至可以采取行动(例如MFA),也可以使用自定义策略来做到这一点:https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-get-started-custom
GitHub上的Azure AD B2C社区提供了一个示例,用于在6次登录失败后锁定用户。 https://github.com/azure-ad-b2c/samples/tree/master/policies/lockout