Comprobación de las credenciales atacadas - Amazon Cognito

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Comprobación de las credenciales atacadas

Amazon Cognito puede detectar si el nombre de usuario y la contraseña de un usuario se han visto comprometidos en otro sitio. Esto puede ocurrir cuando los usuarios reutilizan las credenciales en más de un sitio, o cuando utilizan contraseñas poco seguras. Amazon Cognito comprueba los usuarios locales que inician sesión con nombre de usuario y contraseña, en la interfaz de usuario alojada y con la API de Amazon Cognito. Un usuario local existe exclusivamente en el directorio del grupo de usuarios sin federación a través de un IdP externo.

Desde Advanced security (Seguridad avanzada) en la pestaña App integration (Integración de aplicaciones) de la consola de Amazon Cognito, puede configurar Compromised credentials (Credenciales comprometidas). Configure Event detection (Detección de eventos) para elegir los eventos de usuario que desea supervisar en busca de credenciales comprometidas. Configure Compromised credentials responses (Respuestas ante credenciales comprometidas) para elegir si desea permitir o bloquear al usuario si se han detectado credenciales comprometidas. Amazon Cognito puede comprobar si hay credenciales comprometidas durante el inicio de sesión, el registro o los cambios de contraseña.

Si selecciona Permitir inicio de sesión, puede revisar Amazon CloudWatch Logs para supervisar las evaluaciones que Amazon Cognito realiza sobre los eventos de los usuarios. Para obtener más información, consulte Visualización de las métricas de seguridad avanzadas. Cuando elige Block sign-in (Bloquear el inicio de sesión), Amazon Cognito impide el inicio de sesión de los usuarios que utilizan credenciales comprometidas. Cuando Amazon Cognito bloquea el inicio de sesión de un usuario, establece el UserStatus de usuario en RESET_REQUIRED. Un usuario con un estado RESET_REQUIRED debe cambiar su contraseña antes de poder iniciar sesión de nuevo.

nota

En este momento, Amazon Cognito no comprueba si hay credenciales comprometidas para las operaciones de inicio de sesión con el flujo Secure Remote Password (SRP). SRP envía una prueba de contraseña cifrada durante el inicio de sesión. Amazon Cognito no tiene acceso a las contraseñas internamente, por lo que solo puede evaluar una contraseña que el cliente le transmita en texto plano.

Amazon Cognito comprueba los inicios de sesión que utilizan la AdminInitiateAuthAPI con ADMIN_USER_PASSWORD_AUTH flow y la InitiateAuthAPI con USER_PASSWORD_AUTH flow para detectar credenciales comprometidas.

Para añadir protecciones contra credenciales atacadas a un grupo de usuarios, consulte Adición de seguridad avanzada a un grupo de usuarios.