손상된 보안 인증 탐지 작업 - Amazon Cognito

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

손상된 보안 인증 탐지 작업

Amazon Cognito는 사용자의 사용자 이름과 암호가 다른 곳에서 손상되었는지 탐지할 수 있습니다. 사용자가 자격 증명을 둘 이상의 사이트에서 재사용하거나 안전하지 않은 암호를 사용할 때 이러한 문제가 발생할 수 있습니다. Amazon Cognito는 호스팅 UI 및 Amazon Cognito 에서 사용자 이름과 암호로 로그인하는 로컬 사용자를 확인합니다API. 로컬 사용자는 외부 IdP를 통한 페더레이션 없이 사용자 풀 디렉터리에만 존재합니다.

Amazon Cognito 콘솔의 고급 보안 탭에서 손상된 보안 인증 정보 를 구성할 수 있습니다. 이벤트 감지(Event detection)를 구성하여 손상된 보안 인증 정보에 대해 모니터링할 사용자 이벤트를 선택합니다. 손상된 보안 인증 정보 응답(Compromised credentials responses)을 구성하여 손상된 보안 인증 정보가 감지된 경우 사용자를 허용할지 또는 차단할지 선택합니다. 로그인, 가입 및 암호 변경을 진행하는 동안 Amazon Cognito에서 손상된 보안 인증 정보를 확인할 수 있습니다.

로그인 허용을 선택하면 Amazon CloudWatch Logs를 검토하여 Amazon Cognito가 사용자 이벤트에 대해 수행하는 평가를 모니터링할 수 있습니다. 자세한 내용은 위협 보호 지표 보기 단원을 참조하십시오. 로그인 차단(Block sign-in)을 선택하면 Amazon Cognito는 손상된 보안 인증 정보를 이용하는 사용자의 로그인을 방지합니다. Amazon Cognito가 사용자의 로그인을 차단하면 사용자의 UserStatusRESET_REQUIRED로 설정됩니다. RESET_REQUIRED 상태의 사용자는 암호를 변경해야 다시 로그인할 수 있습니다.

참고

현재 Amazon Cognito는 보안 원격 암호(SRP) 흐름으로 로그인 작업에 손상된 보안 인증 정보를 확인하지 않습니다. SRP 는 로그인하는 동안 해시된 암호 증명을 보냅니다. Amazon Cognito는 내부적으로 암호에 액세스할 수 없으므로 클라이언트가 일반 텍스트로 전달하는 암호만 평가할 수 있습니다.

Amazon Cognito는 ADMIN_USER_PASSWORD_AUTH 흐름과 AdminInitiateAuth API 함께 를 사용하고 USER_PASSWORD_AUTH 흐름과 InitiateAuth API 함께 를 사용하는 로그인에 손상된 보안 인증 정보가 있는지 확인합니다.

사용자 풀에 손상된 자격 증명 차단을 추가하는 방법은 사용자 풀 고급 보안 기능 섹션을 참조하세요.