Comment AWS Cognito User Pool se défend contre les attaques par bruteforce
Je vais utiliser le produit AWS Cognito User Pool comme répertoire utilisateur pour l'application et j'ai plusieurs questions:
- Amazon demande-t-elle une limitation au pool d'utilisateurs de Cognito et, si oui, quelle est la limite de débit des appels à limiter?
- Comment Cognito se défend contre les attaques par bruteforce sur le login/mot de passe?
Après quelques heures de recherche, j'ai trouvé ces deux exceptions dans le code source:
TooManyFailedAttemptsException Cette exception est levée lorsque l'utilisateur a fait trop de tentatives infructueuses pour une action donnée (par exemple, se connecter).
Code d'état HTTP: 400
TooManyRequestsException Cette exception est levée lorsque l'utilisateur a effectué trop de demandes pour une opération donnée.
Code d'état HTTP: 400
De plus, j'ai essayé de me connecter avec des informations d'identification incorrectes pour tester les limites, j'obtiens NotAuthorizedException: Password attempts exceeded exception après 5. tentative.
Dans un scénario similaire, j'ai essayé de forcer brutalement le mot de passe oublié, mais après 10 tentatives infructueuses, j'ai obtenu LimitExceededException: Attempt limit exceeded, please try after some time.
Je pense que c'est comme ça qu'ils font.
Oui, Cognito User Pools protège contre les attaques par force brute en utilisant divers mécanismes de sécurité. La limitation est l'un de ceux des mécanismes. Nous ne partageons pas de limites car elles varient dynamiquement.