Überprüfung auf kompromittierte Anmeldeinformationen - Amazon Cognito

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfung auf kompromittierte Anmeldeinformationen

Amazon Cognito kann erkennen, wenn Benutzername und Passwort eines Benutzers an anderer Stelle kompromittiert wurden. Dies kann der Fall sein, wenn Benutzer Anmeldeinformationen auf mehr als einer Website verwenden, oder wenn sie einfach zu erratende Passwörter auswählen. Amazon Cognito überprüft lokale Benutzer, die sich mit Benutzernamen und Passwort anmelden, in der gehosteten Benutzeroberfläche und mit der Amazon-Cognito-API. Ein lokaler Benutzer existiert ausschließlich in Ihrem Benutzerpool-Verzeichnis, ohne dass ein Verbund über einen externen IdP besteht.

Auf der Registerkarte Erweiterte Sicherheit in der Amazon Cognito Cognito-Konsole können Sie kompromittierte Anmeldeinformationen konfigurieren. Konfigurieren Sie Event detection (Ereigniserkennung), um die Benutzerereignisse auszuwählen, die Sie auf kompromittierte Anmeldeinformationen überwachen möchten. Konfigurieren Sie Compromised credentials responses (Antworten auf kompromittierte Anmeldeinformationen), um zu entscheiden, ob der Benutzer bei Erkennung kompromittierter Anmeldeinformationen zugelassen oder blockiert werden soll. Amazon Cognito kann bei der Registrierung, Anmeldung und bei Passwortänderungen auf kompromittierte Anmeldeinformationen prüfen.

Wenn Sie Anmeldung zulassen wählen, können Sie Amazon CloudWatch Logs überprüfen, um die Bewertungen zu überwachen, die Amazon Cognito zu Benutzerereignissen vornimmt. Weitere Informationen finden Sie unter Anzeigen erweiterter Sicherheitsmetriken. Wenn Sie Block sign-in (Anmeldung blockieren) auswählen, verhindert Amazon Cognito die Anmeldung von Benutzern, die kompromittierte Anmeldeinformationen verwenden. Wenn Amazon Cognito die Anmeldung für einen Benutzer blockiert, wird der UserStatus des Benutzers auf RESET_REQUIRED festgelegt. Ein Benutzer mit dem Status RESET_REQUIRED muss sein Passwort ändern, bevor er sich erneut anmelden kann.

Anmerkung

Derzeit führt Amazon Cognito bei der Anmeldung mit SRP (Secure Remote Password) keine Prüfung auf kompromittierte Anmeldeinformationen durch. SRP sendet bei der Anmeldung einen Hash-Passwortnachweis. Amazon Cognito hat keinen internen Zugriff auf Passwörter und kann daher nur ein Passwort auswerten, das Ihr Kunde ihm im Klartext übergibt.

Amazon Cognito überprüft Anmeldungen, die die API mit Flow und die AdminInitiateAuthInitiateAuthAPI mit ADMIN_USER_PASSWORD_AUTH USER_PASSWORD_AUTH Flow verwenden, auf kompromittierte Anmeldeinformationen.

Weitere Informationen darüber, wie Sie Ihrem Benutzerpool einen Schutz gegen nicht mehr zuverlässige Anmeldeinformationen hinzufügen, finden Sie unter Hinzufügen erweiterter Sicherheit zu einem Benutzerpool..