Проверка пароля, запрошенного во время регистрации в AWS Cognito User Pool

Question

Есть ли способ увидеть пароль в триггерах Lambda, который может быть запущен при регистрации или изменении пароля в пуле пользователей AWS Cognito?

Я хочу получить пароль и сравнить его ссписки ранее скомпрометированных паролей (списки hasibeenpwned) для обеспечения надежности пароля на гораздо более высоком уровне, чем это возможно при произвольных правилах сложности, которые могут быть побеждены мусором, таким как «Пароль! 23»

Answer 1

Ответ в том, что в настоящее время это невозможно сделать так просто, как я надеялся.

Что вам нужно сделать, это включить поток аутентификации типа USER_PASSWORD_AUTH, что означает, что пароль отправляется вHTTP POST-запрос и настройте свой собственный обратный прокси-сервер, чтобы принять запрос, проверить детали пароля и затем переслать запрос на Cognito, принять ответ и затем отправить его обратно в браузер.

Или просто включите "Опция «Дополнительные функции безопасности», которую они вам дают, и ставят флажок для проверки паролей по скомпрометированным спискам ... как я полагаю, AWS пытается заставить вас сделать это.

Answer 2

Если вы используете Amazon Cognito, вам не следует беспокоиться о паролях и их сложности.Он полностью управляется Cognito.

Ваша аутентификация будет основываться только на токенах:)

Невозможно получить пароль от лямбда-триггера.

Но да,Вы можете сделать одну вещь, установить статус FORCE CHANGE PASSWORD.Таким образом, этот пользователь должен будет сбросить пароль после первого входа в систему.

После этого, всякий раз, когда ваш пользователь пытается изменить пароль, вы можете добавить свои собственные ограничения в свой пользовательский интерфейс перед вызовом ChangePassword API

Надеюсь, это поможет!