B2C:有针对脚本攻击的保险吗？

Question

关于使用Azure AD B2C的帐户定价和身份验证，我有几个问题，它们围绕着对脚本DOS攻击的关注。

定价页面：https://azure.microsoft.com/en-us/pricing/details/active-directory-b2c/

Azure在创建帐户时通过短信或电话提供电子邮件和多因素身份验证。

电子邮件验证包括在验证尝试的基本价格中。每月第一批50k认证是免费的。我相信这包括登录认证，帐户/密码恢复，和注册。多因素身份验证(短信或电话)是可选的，每次认证的统一费率为0.03美元(没有免费)。

我不完全清楚的是，什么是身份验证。每一次尝试都会发生计费，还是只对发出令牌的成功身份验证进行收费？考虑到所给出的定义，我认为可能是后者(成功和象征性地发布)：

Authentications：令牌要么响应用户发起的登录请求，要么由应用程序代表用户发起(例如令牌刷新，其中刷新间隔是可配置的)。

因此，如果攻击者试图进行身份验证，但失败了，我们会为每次尝试收取费用吗？多因素也是一样的吗？

如果攻击者有足够的动机，她可以设置自己的电子邮件和SMS系统，用于接收和解析验证代码，并使用这些代码创建大量欺诈性帐户。如果攻击者绕过身份验证并创建了数百万个帐户，那么我们最终还会为这些帐户和身份验证收取费用吗？

我们是否有一项定期删除不完整或不活动账户的预定任务，这是否重要？

设想方案：

1. 7月4日创建了1,000,000个欺诈性账户，但我们在7月5日凌晨1:00之前通过图形API找到并删除了它们。
2. 我们在这个月的第一天开单。攻击者在我们计费周期的最后一天创建1,000,000个帐户，而我们没有及时捕获它。

Answer 1

考虑到失败的身份验证尝试不会导致令牌的发布，我认为从收费的角度来看，这方面的答案是明确的。

关于第二点，您可以做的工作只有这么多才能减轻有动机的攻击者，而且您必须在Azure内置一些基本缓解措施的基础上进行工作。

尽管如此，该平台显然将满足处理注册数量和持有100万活跃账户的要求，每月的费用为1,050美元，虽然这不是一笔小数目，但不应该让银行破产。

Answer 2

我还想补充的是，如果有动机的攻击者最终导致明显的欺诈性指控进入您的帐户，我首先要做的就是让微软打开一个案件。从我的角度(不，我不是MSoft的员工或代表)，他们会非常感兴趣的攻击是如何发生的，是如何进行的，以便他们可以调查缓解措施，进行FWD和2)很可能会与你的客户“做正确的事情”，在收费，如果他们的系统被破坏，以某种方式导致收费击中您的帐户从一次攻击。这可能包括撤销指控或以其他创造性的方式与你合作。