AWS认知用户池如何防御暴力攻击

Question

我将使用AWS认知用户池产品作为应用程序的用户目录，并有以下几个问题：

1. 亚马逊是否对认知用户池进行了节流请求?如果是，那么被勒死的通话速率限制是多少？
2. 认知如何抵御对登录/密码的暴力攻击？

Answer 1

经过几个小时的搜索，我在源代码中发现了这两个例外：

当用户对给定的操作做了太多失败的尝试(例如，登录)时，会抛出此异常。 HTTP状态代码: 400 当用户对给定操作发出太多请求时，将引发TooManyRequestsException此异常。 HTTP状态代码: 400

此外，我试图用错误的凭据登录来测试限制，在5.尝试之后，我得到了NotAuthorizedException: Password attempts exceeded异常。

在类似的场景中，我试图强行忘记密码，但在10次尝试失败后，我得到了LimitExceededException: Attempt limit exceeded, please try after some time.。

我想他们就是这么做的。

Answer 2

是的，认知用户池通过使用各种安全机制来防止暴力攻击。节流是机构的一种。我们不共享限制，因为它们是动态变化的。

Answer 3

这包含了关于科尼图的锁定策略的最新文档。

https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-authentication-flow.html

我们允许五次失败的登录尝试。在此之后，我们开始临时锁定，从1秒开始以指数增长的次数，每次失败后加倍，最多可达15分钟。临时锁定期间的尝试将被忽略。在临时锁定期间之后，如果下一次尝试失败，则新的临时锁定开始，持续时间是上次的两倍。等待大约15分钟，没有任何尝试，也将重置临时锁定。请注意，此行为可能会发生变化。