Auth0のAttack Protection(ネット攻撃保護対策)のまとめ

Auth0のAttack Protection(ネット攻撃保護対策)のまとめ

概要

ネットアカウント被害のニュースによく報道されることが感じでいませんか?
Auth0という認証基盤には、ネット攻撃について、いくつソリューションが用意されていて、安全性が高いと思われています。
今回の記事はAuth0で簡単に使えるネット攻撃対策をまとめてみたいと思います。

Attack Protection (攻撃保護対策)

Auth0の攻撃保護対策は四つがあります:

Bot Detection

ボットの攻撃を検知されましたら、CAPTCHA(画像認証)が表示され、ユーザーに回答してもらいます。
大量なデータとパターンに基づいて判断し、非常に頻繁なネット通信の場合だけが「ボット」と認識されるので、普通のユーザーにの影響が少ないです。
もちろんNeverWhen RiskyAlwaysの選択があり、CAPTCHA(画像認証)をしないか、常にCAPTCHA(画像認証)を出すことも設定可能です。
更に、Auth0が用意したSimple CAPTCHA以外、Google reCAPTCHAと連携することも可能です。

多くのケースにはボット検知が対応されますが、一部非対応になっていますので、Flow Limitaionsを確認してください。

Suspicious IP Throttling

ログインが成功としても、非常に頻繁なログイン・登録することことも不正行為と認められます。
一定期間のログイン回数と登録回数制限をそれぞれ設定でき、片方が制限されても、もう片方には影響しません。
IP代理として頻繁なログイン・登録することもあるので、指定のIPに制限をかけないことも可能です。

Brute-Force Protection

違うパスワードで何回もログイン失敗してしまう場合のネット攻撃(Brute-Force Attack)に対する対策はBrute-Force Protectionと言います。
その攻撃が検知される場合、下記の対応が行われています:

  • ユーザーにメールで通知する
  • 攻撃者のIPからのログインを禁止する

禁止されたIPが下記のことで解禁されます:

  • ユーザーが通知メールで「unblock」する場合(設置が必要です)
  • パスワードが変更される場合(連携されるすべてアカウントを)
  • 管理者に解除してもらう
  • 管理者がログイン回数上限を上げる場合

さっきのSuspicious IP Throttlingと同様で、代理IPを禁止されることも発生しますので、そのIPを特別扱うことも設定可能です。 

Breached Password Detection

ユーザーが持っている、複数のサービスやサイトのアカウントのパスワードは一緒の傾向があります。他のサイトが攻撃され、ユーザー情報が流出する場合は、同じユーザー名(メールアドレスなど)とパスワードでいくつアカウントに不正ログインする可能性もあります。

Auth0がそういうユーザー情報漏れのことを監視し、Auth0のユーザーが被害されそうだったら、アカウントログイン禁止や、ユーザーにメール通知(パースワード変更請求)などを行うことが可能です。

最後

以上の対策ができるところで、Auth0の安全性を感じます。
そして各対策がカスタマイズできるし、設定することも非常に便利だと思います。

Auth0のネット攻撃保護対策のまとめは以上でした。