Azure AD B2C でのアカウントと認証の価格についていくつか質問がありますが、それらはスクリプト DOS 攻撃に対する懸念を中心に展開しています。
価格ページ: https://azure.microsoft.com/en-us/pricing/details/active-directory-b2c/
Azure では、アカウントの作成時に、テキスト メッセージまたは電話による電子メールと多要素認証の両方が提供されます。
電子メールの検証は、認証試行の基本料金に含まれています。毎月最初の 5 万回の認証は無料です。これには、サインイン認証、アカウント/パスワードの回復、サインアップが含まれると思います。多要素認証 (テキスト メッセージまたは電話) はオプションで、認証ごとに 0.03 ドルの定額料金 (景品なし) です。
私が 100% はっきりしていないのは、認証と見なされるものです。料金は試行ごとに発生しますか、それともトークンが発行された認証の成功に対してのみ発生しますか? 与えられた定義を考慮すると、後者(成功してトークンが発行された)である可能性があると思います:
Authentications : ユーザーによって開始されたサインイン要求に応答して発行されたトークン、またはユーザーに代わってアプリケーションによって開始されたトークン (更新間隔が構成可能なトークンの更新など)。
では、攻撃者が認証を試みて失敗した場合、試行ごとに料金が発生しますか? マルチファクターでも同じですか?
攻撃者が十分な動機を持っている場合、確認コードを受信して解析し、それらを使用して多数の詐欺アカウントを作成するために、独自の電子メールおよび SMS システムをセットアップする可能性があります。攻撃者が認証を回避して何百万ものアカウントを作成した場合、それらのアカウントと認証に対して課金されることになりますか?
不完全または非アクティブなアカウントを定期的に削除するスケジュールされたタスクがあるかどうかは重要ですか?
シナリオ:
- 7 月 4 日に 100 万件の不正アカウントが作成されましたが、7 月 5 日の午前 1 時までにグラフ API を使用してそれらを見つけて削除しました。
- 請求は月初に行われます。請求サイクルの最終日に攻撃者が 1,000,000 のアカウントを作成しましたが、間に合いませんでした。