기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 손상된 자격 증명 감지 작업 Amazon Cognito는 사용자의 사용자 이름과 암호가 다른 곳에서 손상되었는지 탐지할 수 있습니다. 사용자가 자격 증명을 둘 이상의 사이트에서 재사용하거나 안전하지 않은 암호를 사용할 때 이러한 문제가 발생할 수 있습니다. Amazon Cognito는 사용자 이름과 암호로 관리형 로그인 및 Amazon Cognito API로 로그인하는 [로컬 사용자](cognito-terms.md#terms-localuser)를 확인합니다. Amazon Cognito 콘솔의 **위협 방지** 메뉴에서 **손상된 자격 증명**을 구성할 수 있습니다. **이벤트 감지(Event detection)**를 구성하여 손상된 보안 인증 정보에 대해 모니터링할 사용자 이벤트를 선택합니다. **손상된 보안 인증 정보 응답(Compromised credentials responses)**을 구성하여 손상된 보안 인증 정보가 감지된 경우 사용자를 허용할지 또는 차단할지 선택합니다. 로그인, 가입 및 암호 변경을 진행하는 동안 Amazon Cognito에서 손상된 보안 인증 정보를 확인할 수 있습니다. **로그인 허용(Allow sign-in)**을 선택한 경우 Amazon CloudWatch Logs를 검토하여 사용자 이벤트에서 Amazon Cognito가 수행하는 평가를 모니터링할 수 있습니다. 자세한 내용은 [위협 방지 지표 보기](metrics-for-cognito-user-pools.md#user-pool-settings-viewing-threat-protection-metrics) 단원을 참조하십시오. **로그인 차단(Block sign-in)**을 선택하면 Amazon Cognito는 손상된 보안 인증 정보를 이용하는 사용자의 로그인을 방지합니다. Amazon Cognito가 사용자의 로그인을 차단하면 사용자의 [https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UserType.html](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_UserType.html)가 `RESET_REQUIRED`로 설정됩니다. `RESET_REQUIRED` 상태의 사용자는 암호를 변경해야 다시 로그인할 수 있습니다. 손상된 자격 증명은 다음 사용자 활동에 대한 암호를 확인할 수 있습니다. **가입** 사용자 풀은 사용자가 [SignUp](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_SignUp.html) 작업 및 관리형 로그인의 가입 페이지에서 전송하는 암호에 손상 지표가 있는지 확인합니다. **로그인** 사용자 풀은 사용자가 암호 기반 로그인에서 제출하는 암호에 손상 지표가 있는지 확인합니다. Amazon Cognito는 [AdminInitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminInitiateAuth.html)의 `ADMIN_USER_PASSWORD_AUTH` 흐름, [InitiateAuth](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html)의 `USER_PASSWORD_AUTH` 흐름 및 둘 다의 `USER_AUTH` 흐름 `PASSWORD` 옵션을 검토할 수 있습니다. 현재 Amazon Cognito는 SRP(Secure Remote Password) 흐름을 사용한 로그인 작업에서 손상된 보안 인증을 확인하지 않습니다. SRP는 로그인 시 해시된 암호 증명을 전송합니다. Amazon Cognito는 내부적으로 암호에 액세스할 수 없으므로 클라이언트가 일반 텍스트로 전달하는 암호만 평가할 수 있습니다. **암호 재설정** 사용자 풀은 [ConfirmForgotPassword](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ConfirmForgotPassword.html) 셀프 서비스 암호 재설정 작업을 사용하여 새 사용자 암호를 설정하는 작업의 손상 지표를 확인합니다. 이 작업에 필요한 코드는 [ForgotPassword](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_ForgotPassword.html) 및 [AdminResetUserPassword](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminResetUserPassword.html)에서 생성됩니다. 손상된 자격 증명은 [AdminSetUserPassword](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminSetUserPassword.html)로 설정된 임시 또는 영구 관리자 설정 암호를 확인하지 않습니다. 그러나 임시 암호를 사용하면 사용자 풀이 [RespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_RespondToAuthChallenge.html) 및 [AdminRespondToAuthChallenge](https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_AdminRespondToAuthChallenge.html)의 `NEW_PASSWORD_REQUIRED` 문제에 대한 응답의 암호를 확인합니다. 사용자 풀에 손상된 자격 증명 차단을 추가하는 방법은 [위협 방지 기능이 있는 고급 보안](cognito-user-pool-settings-threat-protection.md) 섹션을 참조하세요.