B2C：スクリプト攻撃に対する保険はありますか？

Question

アカウントの価格設定とAzure AD B2Cの認証に関するいくつかの質問があり、それらはスクリプトによるDOS攻撃に対する懸念を中心に展開されています。

価格のページ：アカウントを作成するときhttps://azure.microsoft.com/en-us/pricing/details/active-directory-b2c/

Azureでは、テキストメッセージや電話を経由して、両方の電子メールおよび多要素認証を提供します。

電子メールの確認は、認証の試行のための基本料金に含まれています。 最初の50,000回の認証は無料です。 これには、サインイン認証、アカウント/パスワードの回復、サインアップが含まれていると思います。 マルチファクタ認証（テキストメッセージまたは通話）はオプションで、認証ごとに0.03ドルの定額料率（空きなし）があります。

私が100％明確にしていないものは、認証とみなされます。 1回の試行ごとに、またはトークンが発行された場合の認証に成功した場合にのみ料金が発生しますか？ は私が与えられた定義を考えると、それは（成功して発行されたトークン）後者のかもしれないと思う：

認証]：ユーザによって開始サインイン要求に応じて、または上のアプリケーションによって開始のいずれかが発行トークン（例えば、リフレッシュ間隔が設定可能なトークンリフレッシュ）。

攻撃者が認証を試みて失敗した場合、試行ごとに料金がかかりますか？ 多因子でも同じですか？

攻撃者が十分な意欲を持っている場合、認証コードを受信して​​解析し、それらを使用して多数の不正なアカウントを作成するための電子メールとSMSシステムをセットアップすることができます。 攻撃者が認証を回避して何百万ものアカウントを作成した場合でも、それらのアカウントと認証に課金されることになりますか？

不完全または非アクティブなアカウントを定期的に削除する予定のタスクがあったかどうかは関係ありませんか？

シナリオ：

1. 1,000,000不正アカウントは7月4日に作成されますが、私たちが見つけて、7月5日の午前1:00で、グラフAPIを介してそれらを削除します。
2. 月初めに請求されます。攻撃者は、請求サイクルの最後の日に1,000,000個のアカウントを作成します。時間内にキャッチしません。

Answer 1

トークンが発行されなかった場合、私はチャンスの観点から答えがはっきりしていると思います。

あなたの第二の点に、あなたがやる気攻撃を軽減するために行うことができますし、Azureのは、内蔵のいくつかの基本的な緩和策を持っています基づいて仕事をしなければならないだけなので多くの仕事がある。

これを言って、プラットフォームは明らかにその規模の申し込みを処理するための要件を満たし、100万人のアクティブなアカウントを保持するには月額1050ドルかかりますが、これはわずかなものではありませんが、銀行を破るべきではありません。

Answer 2

また、動機付けられた攻撃者が明らかに不正行為を起こしてアカウントにヒットした場合、まずMicrosoftと一緒に開かれたケースを得ることになります。私の見解では（いいえ、私はMSoftの従業員や担当者ではありません）彼らは1）攻撃がどのように行われたかに非常に関心があり、FWDの緩和手順を調査できるようになりました.2）彼らのシステムが攻撃からあなたのアカウントにヒットするような方法で侵害された場合に、料金に関して「正しいことを」行うこと。それには、費用を落とすことや、他の創造的な方法であなたと働くことなどがあります。