B2C：是否有针对脚本攻击的保险？

Question

我有几个关于 Azure AD B2C 帐户和身份验证的定价问题，它们都围绕着对脚本化 DOS 攻击的担忧。

定价页面：https://azure.microsoft.com/en-us/pricing/details/active-directory-b2c/

Azure 在创建帐户时通过短信或电话提供电子邮件和多因素身份验证。

电子邮件验证包含在身份验证尝试的基本价格中。 每月前 50k 次身份验证是免费的。 我相信这包括登录身份验证、帐户/密码恢复和注册。 多因素身份验证（短信或电话）是可选的，每次身份验证的统一费率为 0.03 美元（无免费赠品）。

我不是 100% 清楚的是，什么才是身份验证。 每次尝试都会收费，还是仅针对颁发令牌的成功身份验证收费？ 考虑到给出的定义，我认为可能是后者（成功并发行了令牌）：

身份验证：响应用户发起的登录请求或应用程序代表用户发起的令牌（例如，令牌刷新，其中刷新间隔是可配置的） .

因此，如果攻击者尝试进行身份验证但失败了，我们会为每次尝试收费吗？ 多因素也一样吗？

如果攻击者有足够的动机，可以想象她可以设置自己的电子邮件和短信系统来接收和解析验证码，并使用它们创建大量欺诈帐户。 如果攻击者绕过身份验证并创建数百万个帐户，我们最终还会为这些帐户和身份验证付费吗？

我们是否有一个定期删除不完整或非活动帐户的计划任务是否重要？

场景：

1. 7 月 4 日创建了 1,000,000 个欺诈帐户，但我们会在 7 月 5 日凌晨 1:00 通过图形 API 找到并删除它们。
2. 我们在每月的第一天收费。攻击者在我们计费周期的最后一天创建了 1,000,000 个帐户，而我们没有及时发现。

Answer 1

鉴于失败的身份验证尝试不会导致颁发令牌，我认为从收费的角度来看，这方面的答案很明确。

对于第二点，您可以做的工作只有这么多，才能缓解有动机的攻击者，您必须在 Azure 内置一些基本缓解措施的基础上开展工作。

话虽如此，该平台显然可以满足处理注册数量的要求，并且持有 100 万个活跃账户每月将花费约 1,050 美元，这虽然不是一笔小数目，但不应该让银行破产。

Answer 2

我还要补充一点，如果有动机的攻击者最终确实导致明显的欺诈性费用进入您的帐户，我要做的第一件事就是向 Microsoft 立案。从我的角度来看（不，我不是 MSoft 员工或代表）他们会 1）对攻击的发生和执行方式非常感兴趣，因此他们可以调查 FWD 的缓解步骤，并且 2）可能会与客户合作如果他们的系统受到损害以导致费用因攻击而影响您的帐户，则在收费方面“做正确的事”。这可能包括取消收费或以其他创造性的方式与您合作。