2

关于 Azure AD B2C 帐户和身份验证的定价,我有几个问题,它们围绕着对脚本化 DOS 攻击的关注。

定价页面:https ://azure.microsoft.com/en-us/pricing/details/active-directory-b2c/

Azure 在创建帐户时通过短信或电话提供电子邮件和多因素身份验证。

电子邮件验证包含在身份验证尝试的基本价格中。每月前 50k 次身份验证是免费的。我相信这包括登录身份验证、帐户/密码恢复和注册。多因素身份验证(短信或电话)是可选的,每次身份验证的统一费率为 0.03 美元(无免费赠品)。

我不是 100% 清楚的是,什么才是身份验证。每次尝试都会收费,还是仅针对颁发令牌的成功身份验证收费?考虑到给出的定义,我认为可能是后者(成功并发行了令牌):

身份验证:响应用户发起的登录请求或应用程序代表用户发起的令牌(例如,令牌刷新,刷新间隔是可配置的)。

因此,如果攻击者尝试进行身份验证但失败了,我们会为每次尝试收费吗?多因素也一样吗?

如果攻击者有足够的动机,可以想象她可以设置自己的电子邮件和短信系统来接收和解析验证码,并利用它们创建大量的欺诈账户。如果攻击者绕过身份验证并创建数百万个帐户,我们最终还会为这些帐户和身份验证付费吗?

我们是否有一个定期删除不完整或非活动帐户的计划任务是否重要?

场景:

  1. 7 月 4 日创建了 1,000,000 个欺诈帐户,但我们在 7 月 5 日凌晨 1:00 之前通过图形 API 找到并删除了它们。
  2. 我们在每月的第一天收费。攻击者在我们计费周期的最后一天创建了 1,000,000 个帐户,而我们没有及时发现。
4

2 回答 2

1

鉴于失败的身份验证尝试不会导致颁发令牌,我认为从收费的角度来看,这方面的答案很明确。

对于您的第二点,您可以做很多工作来缓解积极的攻击者,并且您必须在 Azure 将内置一些基本缓解措施的基础上工作。

话虽如此,该平台显然将满足处理注册数量的要求,持有一百万个活跃账户每月将花费约 1,050 美元,虽然不是一笔小数目,但不应该让银行破产。

于 2016-05-18T05:08:32.657 回答
1

我还要补充一点,如果有动机的攻击者最终确实导致明显的欺诈性费用进入您的帐户,我要做的第一件事就是与 Microsoft 立案。从我的角度来看(不,我不是 MSoft 员工或代表)他们将 1)对攻击的发生和执行方式非常感兴趣,因此他们可以调查 FWD 的缓解步骤,并且 2)可能会与您合作客户如果他们的系统受到损害以导致费用因攻击而影响您的帐户,则在收费方面“做正确的事情”。这可能包括放弃收费或以其他一些创造性的方式与您合作。

于 2016-05-20T05:38:53.813 回答