손상된 자격 증명 감지 작업 - Amazon Cognito

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

손상된 자격 증명 감지 작업

Amazon Cognito는 사용자의 사용자 이름과 암호가 다른 곳에서 손상되었는지 탐지할 수 있습니다. 사용자가 자격 증명을 둘 이상의 사이트에서 재사용하거나 안전하지 않은 암호를 사용할 때 이러한 문제가 발생할 수 있습니다. Amazon Cognito는 사용자 이름과 암호, 관리형 로그인 및 Amazon Cognito API로 로그인하는 로컬 사용자를 확인합니다.

Amazon Cognito 콘솔의 위협 방지 메뉴에서 손상된 자격 증명을 구성할 수 있습니다. 이벤트 감지(Event detection)를 구성하여 손상된 보안 인증 정보에 대해 모니터링할 사용자 이벤트를 선택합니다. 손상된 보안 인증 정보 응답(Compromised credentials responses)을 구성하여 손상된 보안 인증 정보가 감지된 경우 사용자를 허용할지 또는 차단할지 선택합니다. 로그인, 가입 및 암호 변경을 진행하는 동안 Amazon Cognito에서 손상된 보안 인증 정보를 확인할 수 있습니다.

로그인 허용(Allow sign-in)을 선택한 경우 Amazon CloudWatch Logs를 검토하여 사용자 이벤트에서 Amazon Cognito가 수행하는 평가를 모니터링할 수 있습니다. 자세한 내용은 위협 방지 지표 보기 단원을 참조하십시오. 로그인 차단(Block sign-in)을 선택하면 Amazon Cognito는 손상된 보안 인증 정보를 이용하는 사용자의 로그인을 방지합니다. Amazon Cognito가 사용자의 로그인을 차단하면 사용자의 UserStatusRESET_REQUIRED로 설정됩니다. RESET_REQUIRED 상태의 사용자는 암호를 변경해야 다시 로그인할 수 있습니다.

손상된 자격 증명은 다음 사용자 활동에 대한 암호를 확인할 수 있습니다.

가입

사용자 풀은 사용자가 SignUp 작업 및 관리형 로그인의 가입 페이지에서 전송하는 암호에 손상 지표가 있는지 확인합니다.

로그인

사용자 풀은 사용자가 암호 기반 로그인에서 제출하는 암호에 손상 지표가 있는지 확인합니다. Amazon Cognito는 AdminInitiateAuthADMIN_USER_PASSWORD_AUTH 흐름, InitiateAuthUSER_PASSWORD_AUTH 흐름 및 둘 다의 USER_AUTH 흐름 PASSWORD 옵션을 검토할 수 있습니다.

현재 Amazon Cognito는 SRP(Secure Remote Password) 흐름을 사용한 로그인 작업에서 손상된 보안 인증을 확인하지 않습니다. SRP는 로그인 시 해시된 암호 증명을 전송합니다. Amazon Cognito는 내부적으로 암호에 액세스할 수 없으므로 클라이언트가 일반 텍스트로 전달하는 암호만 평가할 수 있습니다.

암호 재설정

사용자 풀은 ConfirmForgotPassword 셀프 서비스 암호 재설정 작업을 사용하여 새 사용자 암호를 설정하는 작업의 손상 지표를 확인합니다. 이 작업에 필요한 코드는 ForgotPasswordAdminResetUserPassword에서 생성됩니다.

손상된 자격 증명은 AdminSetUserPassword로 설정된 임시 또는 영구 관리자 설정 암호를 확인하지 않습니다. 그러나 임시 암호를 사용하면 사용자 풀은 RespondToAuthChallengeAdminRespondToAuthChallengeNEW_PASSWORD_REQUIRED 챌린지에 대한 응답의 암호를 확인합니다.

사용자 풀에 손상된 자격 증명 차단을 추가하는 방법은 위협 방지 기능이 있는 고급 보안 섹션을 참조하세요.