손상된 자격 증명 확인

Amazon Cognito는 사용자의 사용자 이름과 암호가 다른 곳에서 손상되었는지 탐지할 수 있습니다. 사용자가 자격 증명을 둘 이상의 사이트에서 재사용하거나 안전하지 않은 암호를 사용할 때 이러한 문제가 발생할 수 있습니다. Amazon Cognito는 호스팅된 UI와 Amazon Cognito를 사용하여 사용자 이름과 암호로 로그인하는 로컬 사용자를 확인합니다. API 로컬 사용자는 외부 IdP를 통한 페더레이션 없이 사용자 풀 디렉터리에만 존재합니다.

Amazon Cognito 콘솔의 고급 보안 탭에서 손상된 자격 증명을 구성할 수 있습니다. 이벤트 감지(Event detection)를 구성하여 손상된 보안 인증 정보에 대해 모니터링할 사용자 이벤트를 선택합니다. 손상된 보안 인증 정보 응답(Compromised credentials responses)을 구성하여 손상된 보안 인증 정보가 감지된 경우 사용자를 허용할지 또는 차단할지 선택합니다. 로그인, 가입 및 암호 변경을 진행하는 동안 Amazon Cognito에서 손상된 보안 인증 정보를 확인할 수 있습니다.

로그인 허용을 선택하면 Amazon CloudWatch Logs를 검토하여 Amazon Cognito가 사용자 이벤트에 대해 수행하는 평가를 모니터링할 수 있습니다. 자세한 내용은 고급 보안 지표 보기 단원을 참조하십시오. 로그인 차단(Block sign-in)을 선택하면 Amazon Cognito는 손상된 보안 인증 정보를 이용하는 사용자의 로그인을 방지합니다. Amazon Cognito가 사용자의 로그인을 차단하면 사용자의 UserStatus가 RESET_REQUIRED로 설정됩니다. RESET_REQUIRED 상태의 사용자는 암호를 변경해야 다시 로그인할 수 있습니다.

참고

현재 Amazon Cognito는 보안 원격 암호 () 흐름을 사용하여 로그인 작업을 위한 자격 증명이 손상되었는지 확인하지 않습니다. SRP SRP로그인하는 동안 해시된 암호 증명을 보냅니다. Amazon Cognito는 내부적으로 암호에 액세스할 수 없으므로 클라이언트가 일반 텍스트로 전달하는 암호만 평가할 수 있습니다.

Amazon Cognito는 with AdminInitiateAuthAPIADMIN_USER_PASSWORD_AUTH흐름과 with 흐름을 사용하는 로그인에서 자격 증명이 InitiateAuthAPI손상되었는지 확인합니다. USER_PASSWORD_AUTH

사용자 풀에 손상된 자격 증명 차단을 추가하는 방법은 사용자 풀에 고급 보안 기능 추가 섹션을 참조하세요.