손상된 자격 증명 확인 - Amazon Cognito

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

손상된 자격 증명 확인

Amazon Cognito는 사용자의 사용자 이름과 암호가 다른 곳에서 손상되었는지 탐지할 수 있습니다. 사용자가 자격 증명을 둘 이상의 사이트에서 재사용하거나 안전하지 않은 암호를 사용할 때 이러한 문제가 발생할 수 있습니다. Amazon Cognito는 사용자 이름과 암호로 호스팅 UI 및 Amazon Cognito API로 로그인하는 로컬 사용자를 확인합니다. 로컬 사용자는 외부 IdP를 통한 페더레이션 없이 사용자 풀 디렉터리에만 존재합니다.

Amazon Cognito 콘솔 내 앱 통합(App integration) 탭의 고급 보안(Advanced security)에서 손상된 보안 인증 정보(Compromised credentials)를 구성할 수 있습니다. 이벤트 감지(Event detection)를 구성하여 손상된 보안 인증 정보에 대해 모니터링할 사용자 이벤트를 선택합니다. 손상된 보안 인증 정보 응답(Compromised credentials responses)을 구성하여 손상된 보안 인증 정보가 감지된 경우 사용자를 허용할지 또는 차단할지 선택합니다. 로그인, 가입 및 암호 변경을 진행하는 동안 Amazon Cognito에서 손상된 보안 인증 정보를 확인할 수 있습니다.

로그인 허용을 선택하면 Amazon CloudWatch Logs를 검토하여 Amazon Cognito가 사용자 이벤트에 대해 수행하는 평가를 모니터링할 수 있습니다. 자세한 설명은 고급 보안 지표 보기 섹션을 참조하세요. 로그인 차단(Block sign-in)을 선택하면 Amazon Cognito는 손상된 보안 인증 정보를 이용하는 사용자의 로그인을 방지합니다. Amazon Cognito가 사용자의 로그인을 차단하면 사용자의 UserStatusRESET_REQUIRED로 설정됩니다. RESET_REQUIRED 상태의 사용자는 암호를 변경해야 다시 로그인할 수 있습니다.

참고

현재 Amazon Cognito는 SRP(Secure Remote Password) 흐름을 사용한 로그인 작업에서 손상된 보안 인증을 확인하지 않습니다. SRP는 로그인 시 해시된 암호 증명을 전송합니다. Amazon Cognito는 내부적으로 암호에 액세스할 수 없으므로 클라이언트가 일반 텍스트로 전달하는 암호만 평가할 수 있습니다.

Amazon Cognito는 ADMIN_USER_PASSWORD_AUTH 플로우가 포함된 AdminInitiateAuthAPI와 플로우가 있는 API를 사용하는 로그인에서 자격 증명이 InitiateAuth손상되었는지 확인합니다. USER_PASSWORD_AUTH

사용자 풀에 손상된 자격 증명 차단을 추가하는 방법은 사용자 풀에 고급 보안 기능 추가 섹션을 참조하세요.