Wie AWS-Cognito-Benutzer-Pool einen Schutz gegen bruteforce-Angriffe

Werde ich AWS nutzen, Cognito-User Pool-Produkts als Benutzer-Verzeichnis für die Anwendung und habe mehrere Fragen:

  1. Ist Amazon Drosselklappe Anfrage an Cognito-Benutzer-Pool und wenn ja, was ist das limit von anrufen zu erhalten gedrosselt?
  2. Wie Cognito verteidigt gegen bruteforce-Angriff auf die login/Passwort?
InformationsquelleAutor knok16 | 2016-06-09
  1. 22

    Nach paar Stunden Suche fand ich diese zwei Ausnahmen im source-code:

    TooManyFailedAttemptsException Diese Ausnahme wird geworfen, wenn der
    Benutzer hat zu viele fehlgeschlagene versuche für eine bestimmte Aktion (z.B., Zeichen
    in).

    HTTP-Statuscode: 400

    TooManyRequestsException Diese Ausnahme wird geworfen, wenn der Benutzer die
    zu viele Anforderungen für einen bestimmten Vorgang.

    HTTP-Statuscode: 400

    Auch, ich habe versucht, sich mit falschen Anmeldeinformationen zu testen, Grenzen, bekomme ich NotAuthorizedException: Password attempts exceeded Ausnahme nach 5. Versuch.

    In einem ähnlichen Szenario habe ich versucht, brute-force Passwort vergessen, aber nach 10 gescheiterten versuchen, bekam ich LimitExceededException: Attempt limit exceeded, please try after some time.

    Ich denke, das ist, wie Sie es tun.

    • Gelandet, um diese Antwort, nachdem wir begonnen, unsere eigene Sperrung nach N versucht system. Es ist wirklich irritierend sein nicht irgendwo erwähnt docs, soweit ich weiß. Wir brauchen eine feinere Kontrolle darüber, wie viele versuche die Ursache lockout, und wie lange Sie gesperrt sind, sowie ein administrator die Möglichkeit haben, entsperren Sie wichtige Konten, wenn nötig. Kann es sein, getan in cognito?
    • Es ist derzeit nicht möglich, dies zu tun mit Cognito, da es keine Haken zum erfassen von login-Fehlern, und es ist nicht zuverlässig zu verfolgen, solche Fehler in der client-app.
    InformationsquelleAutor endertunc
  2. 12

    Ja, Cognito User-Pools schützt vor brute-force-Angriffe durch die Verwendung verschiedener Sicherheitsmechanismen. Die Drosselung ist einer dieser Mechanismen. Wir teilen nicht die Grenzen, wie Sie variieren dynamisch.

    • Können Sie bitte erläutern, welche Art von Sicherheits-Mechanismen sind Sie mit?
    • Dhall, können Sie erklären, ein wenig mehr über diese Mechanismen? Diese Arten von Informationen sind nicht erwähnt im doc -, so wäre es ein guter Punkt um zu starten, denke ich.
    • Es gibt Sicherheits-Mechanismen auf die Anzahl der versuche, die Drosselung und die Anzahl der Anfragen für erste-codes.
    • Gibt es eine Dokumentation darüber, wie sicher sind diese Mechanismen?
    • Es ist schon paar Jahre her, seit deine Antwort - gibt es eine offizielle Dokumentation, die nur besagt, dass Cognito tut? Auch dies wird in dieser Dokumentation nicht teilen bestimmte Grenzen.
    InformationsquelleAutor Rachit Dhall
Schreibe einen Kommentar