AWS Cognitoユーザープールがブルートフォース攻撃からどのように防御するか
AWS Cognitoユーザープール製品をアプリケーションのユーザーディレクトリとして使用し、いくつか質問があります。
- AmazonはCognitoユーザープールへのリクエストをスロットルしますか?はいの場合、スロットルされる呼び出しのレート制限は何ですか?
- Cognitoはログイン/パスワードに対するブルートフォース攻撃からどのように防御しますか?
数時間検索した後、ソースコードに次の2つの例外が見つかりました。
TooManyFailedAttemptsExceptionこの例外は、ユーザーが特定のアクション(サインインなど)に対して失敗した試行が多すぎる場合にスローされます。
HTTPステータスコード:400
TooManyRequestsExceptionこの例外は、ユーザーが特定の操作に対して要求を行いすぎた場合にスローされます。
HTTPステータスコード:400
また、制限をテストするために間違った認証情報でログインしようとすると、NotAuthorizedException: Password attempts exceeded 5.試行後の例外。
同様のシナリオで、パスワードを忘れてブルートフォースにしようとしましたが、10回失敗するとLimitExceededException: Attempt limit exceeded, please try after some time.
それが彼らのやり方だと思います。
はい、Cognitoユーザープールは、さまざまなセキュリティメカニズムを使用してブルートフォース攻撃から保護します。スロットルはメカニズムの1つです。制限は動的に変化するため、共有しません。