손상된 자격 증명 확인 - Amazon Cognito

손상된 자격 증명 확인

Amazon Cognito는 사용자의 사용자 이름과 암호가 다른 곳에서 손상되었는지 탐지할 수 있습니다. 사용자가 자격 증명을 둘 이상의 사이트에서 재사용하거나 안전하지 않은 암호를 사용할 때 이러한 문제가 발생할 수 있습니다. Amazon Cognito는 사용자 이름과 암호로 호스팅 UI 및 Amazon Cognito API에 로그인하는 기본 사용자를 확인합니다. 기본 사용자는 페더레이션 아이덴티티 제공업체(IdP) 없이 사용자가 생성했거나 Amazon Cognito 디렉터리에 가입한 사용자입니다.

Amazon Cognito 콘솔 내 앱 통합(App integration) 탭의 고급 보안(Advanced security)에서 손상된 보안 인증 정보(Compromised credentials)를 구성할 수 있습니다. 이벤트 감지(Event detection)를 구성하여 손상된 보안 인증 정보에 대해 모니터링할 사용자 이벤트를 선택합니다. 손상된 보안 인증 정보 응답(Compromised credentials responses)을 구성하여 손상된 보안 인증 정보가 감지된 경우 사용자를 허용할지 또는 차단할지 선택합니다. 로그인, 가입 및 암호 변경을 진행하는 동안 Amazon Cognito에서 손상된 보안 인증 정보를 확인할 수 있습니다.

로그인 허용(Allow sign-in)을 선택한 경우 Amazon CloudWatch Logs를 검토하여 사용자 이벤트에서 Amazon Cognito가 수행하는 평가를 모니터링할 수 있습니다. 자세한 정보는 고급 보안 지표 보기을 참조하십시오. 로그인 차단(Block sign-in)을 선택하면 Amazon Cognito는 손상된 보안 인증 정보를 이용하는 사용자의 로그인을 방지합니다. Amazon Cognito가 사용자의 로그인을 차단하면 사용자의 UserStatusRESET_REQUIRED로 설정됩니다. RESET_REQUIRED 상태의 사용자는 암호를 변경해야 다시 로그인할 수 있습니다.

참고

현재 Amazon Cognito는 로그인 중에 암호를 보내지 않는 SRP(Secure Remote Password) 흐름에서의 로그인 작업에 대해 손상된 자격 증명을 확인하지 않습니다. Amazon Cognito는 손상된 자격 증명에 대해 ADMIN_USER_PASSWORD_AUTH 흐름에서 AdminInitiateAuth API를 사용하는 로그인과 USER_PASSWORD_AUTH 흐름에서 InitiateAuth API를 사용하는 로그인을 확인합니다.

사용자 풀에 손상된 자격 증명 차단을 추가하는 방법은 사용자 풀에 고급 보안 기능 추가 섹션을 참조하세요.