Auth0のAttack Protection(ネット攻撃保護対策)のまとめ
概要
ネットアカウント被害のニュースによく報道されることが感じでいませんか?
Auth0という認証基盤には、ネット攻撃について、いくつソリューションが用意されていて、安全性が高いと思われています。
今回の記事はAuth0で簡単に使えるネット攻撃対策をまとめてみたいと思います。
Attack Protection (攻撃保護対策)
Auth0の攻撃保護対策は四つがあります:
- Bot Detection (ボット検知)
- Suspicious IP Throttling (非常に頻繁なログインのIP制限)
- Brute-Force Protection (複数ログイン失敗のIP制限)
- Breached Password Detection (パスワード漏れ検知)
Bot Detection
ボットの攻撃を検知されましたら、CAPTCHA(画像認証)が表示され、ユーザーに回答してもらいます。
大量なデータとパターンに基づいて判断し、非常に頻繁なネット通信の場合だけが「ボット」と認識されるので、普通のユーザーにの影響が少ないです。
もちろんNever
、When Risky
、Always
の選択があり、CAPTCHA(画像認証)をしないか、常にCAPTCHA(画像認証)を出すことも設定可能です。
更に、Auth0が用意したSimple CAPTCHA以外、Google reCAPTCHAと連携することも可能です。
多くのケースにはボット検知が対応されますが、一部非対応になっていますので、Flow Limitaionsを確認してください。
Suspicious IP Throttling
ログインが成功としても、非常に頻繁なログイン・登録することことも不正行為と認められます。
一定期間のログイン回数と登録回数制限をそれぞれ設定でき、片方が制限されても、もう片方には影響しません。
IP代理として頻繁なログイン・登録することもあるので、指定のIPに制限をかけないことも可能です。
Brute-Force Protection
違うパスワードで何回もログイン失敗してしまう場合のネット攻撃(Brute-Force Attack)に対する対策はBrute-Force Protectionと言います。
その攻撃が検知される場合、下記の対応が行われています:
- ユーザーにメールで通知する
- 攻撃者のIPからのログインを禁止する
禁止されたIPが下記のことで解禁されます:
- ユーザーが通知メールで「unblock」する場合(設置が必要です)
- パスワードが変更される場合(連携されるすべてアカウントを)
- 管理者に解除してもらう
- 管理者がログイン回数上限を上げる場合
さっきのSuspicious IP Throttlingと同様で、代理IPを禁止されることも発生しますので、そのIPを特別扱うことも設定可能です。
Breached Password Detection
ユーザーが持っている、複数のサービスやサイトのアカウントのパスワードは一緒の傾向があります。他のサイトが攻撃され、ユーザー情報が流出する場合は、同じユーザー名(メールアドレスなど)とパスワードでいくつアカウントに不正ログインする可能性もあります。
Auth0がそういうユーザー情報漏れのことを監視し、Auth0のユーザーが被害されそうだったら、アカウントログイン禁止や、ユーザーにメール通知(パースワード変更請求)などを行うことが可能です。
最後
以上の対策ができるところで、Auth0の安全性を感じます。
そして各対策がカスタマイズできるし、設定することも非常に便利だと思います。
Auth0のネット攻撃保護対策のまとめは以上でした。