Vérification des informations d’identification compromises

Amazon Cognito peut détecter si le nom d’utilisateur et le mot de passe d’un utilisateur ont été compromis ailleurs. Cela peut se produire lorsque des utilisateurs réutilisent des informations d’identification sur plusieurs sites, ou quand ils utilisent des mots de passe non sécurisés. Amazon Cognito vérifie les utilisateurs locaux qui se connectent avec un nom d’utilisateur et un mot de passe, dans l’interface utilisateur hébergée et avec l’API Amazon Cognito. Un utilisateur local existe exclusivement dans l’annuaire de votre groupe d’utilisateurs sans fédération via un fournisseur d’identité externe.

Dans Advanced security (Sécurité avancée), dans l’onglet App integration (Intégration d’applications) de la console Amazon Cognito, vous pouvez configurer Compromised credentials (Informations d’identification compromises). Configurez Event detection (Détection d’événements) pour choisir les événements utilisateur que vous souhaitez surveiller à la recherche d’informations d’identification compromises. Configurez Compromised credentials responses (Réponses d’informations d’identification compromises) pour autoriser ou bloquer l’utilisateur si des informations d’identification compromises sont détectées. Amazon Cognito peut vérifier les informations d’identification compromises lors des connexions, des inscriptions et des modifications de mot de passe.

Lorsque vous choisissez Autoriser la connexion, vous pouvez consulter Amazon CloudWatch Logs pour suivre les évaluations effectuées par Amazon Cognito sur les événements des utilisateurs. Pour plus d’informations, consultez Affichage des métriques de sécurité avancée. Lorsque vous choisissez Block sign-in (Bloquer la connexion), Amazon Cognito empêche la connexion des utilisateurs qui utilisent des informations d’identification compromises. Quand Amazon Cognito bloque la connexion d’un utilisateur, il définit le paramètre UserStatus de l’utilisateur sur RESET_REQUIRED. Un utilisateur doté du statut RESET_REQUIRED doit modifier son mot de passe avant de pouvoir se reconnecter.

Note

Actuellement, Amazon Cognito ne vérifie pas les informations d’identification compromises pour les opérations de connexion avec un flux SRP (Secure Remote Password). SRP envoie une preuve de mot de passe hachée lors de la connexion. Amazon Cognito n’a pas accès aux mots de passe en interne. Il peut donc uniquement évaluer un mot de passe que votre client lui transmet en texte clair.

Amazon Cognito vérifie les connexions qui utilisent l'AdminInitiateAuthAPI avec ADMIN_USER_PASSWORD_AUTH flow, et l'API avec flow, pour détecter les informations InitiateAuthd'identification USER_PASSWORD_AUTH compromises.

Pour ajouter la protection contre les informations d’identification compromises à votre groupe d’utilisateurs, consultez Ajout de la sécurité avancée à un groupe d’utilisateurs.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Ajout de la sécurité avancée

Utilisation de l’authentification adaptative