- バケツリレー攻撃
- リプレイ攻撃
- クロスサイトリクエストフォージェリ(CSRFまたはXSRF)攻撃
- 総当たり攻撃
- 不審なIPのスロットリング
- 資格情報スタッフィング攻撃
- リスト検証攻撃
バケツリレー攻撃
リプレイ攻撃
- 通常は簡単にアクセスできないネットワークや情報にアクセスする
- トランザクションを複製する
- トークンの有効期限を短くする
- 使用されたトークンを(場合によってはユーザーも)DenyList(拒否リスト)に追加する方法を提供する
- ワンタイムパスワードを使用する
jtiフィールドが用意されています。Auth0トークンは現在のところ、jtiを返しませんが、トークンをDenyListに追加することができます。jtiを使用して、使用しているトークンの数が、指定の回数を上回らないようにします。これで、と類似したもの(トークンの署名をnonceと考える)を実装していることになります。トークンが盗まれたり、指定の回数を超えて使用されたりした場合には、必ずDenyList(拒否リスト)に追加します。そうすることで、有効なトークンが悪用されることを防ぎます。トークンの使用期限が切れると、攻撃者はユーザーになりすますことができなくなります。
リプレイ攻撃はワンタイムパスワードの使用でも回避できます。Auth0の Authentication(パスワードレス認証)は、従来式のパスワードではなく、1回限り有効のコードやメールのリンクを使用しています。また、Auth0が提供している多要素認証()は、プッシュ通知やテキストで送信可能なワンタイムパスワードを第2の認証要素として使用しています。