Travailler avec la détection des informations d'identification compromises - Amazon Cognito

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Travailler avec la détection des informations d'identification compromises

Amazon Cognito peut détecter si le nom d’utilisateur et le mot de passe d’un utilisateur ont été compromis ailleurs. Cela peut se produire lorsque des utilisateurs réutilisent des informations d’identification sur plusieurs sites, ou quand ils utilisent des mots de passe non sécurisés. Amazon Cognito contrôle les utilisateurs locaux qui se connectent avec leur nom d'utilisateur et leur mot de passe, dans l'interface utilisateur hébergée et avec Amazon Cognito. API Un utilisateur local existe exclusivement dans l’annuaire de votre groupe d’utilisateurs sans fédération via un fournisseur d’identité externe.

Dans l'onglet Sécurité avancée de la console Amazon Cognito, vous pouvez configurer les informations d'identification compromises. Configurez Event detection (Détection d’événements) pour choisir les événements utilisateur que vous souhaitez surveiller à la recherche d’informations d’identification compromises. Configurez Compromised credentials responses (Réponses d’informations d’identification compromises) pour autoriser ou bloquer l’utilisateur si des informations d’identification compromises sont détectées. Amazon Cognito peut vérifier les informations d’identification compromises lors des connexions, des inscriptions et des modifications de mot de passe.

Lorsque vous choisissez Autoriser la connexion, vous pouvez consulter Amazon CloudWatch Logs pour suivre les évaluations effectuées par Amazon Cognito sur les événements des utilisateurs. Pour de plus amples informations, veuillez consulter Afficher les indicateurs de protection contre les menaces. Lorsque vous choisissez Block sign-in (Bloquer la connexion), Amazon Cognito empêche la connexion des utilisateurs qui utilisent des informations d’identification compromises. Quand Amazon Cognito bloque la connexion d’un utilisateur, il définit le paramètre UserStatus de l’utilisateur sur RESET_REQUIRED. Un utilisateur doté du statut RESET_REQUIRED doit modifier son mot de passe avant de pouvoir se reconnecter.

Note

Actuellement, Amazon Cognito ne vérifie pas les informations d'identification compromises pour les opérations de connexion avec le flux Secure Remote Password ()SRP. SRPenvoie une preuve hachée du mot de passe lors de la connexion. Amazon Cognito n’a pas accès aux mots de passe en interne. Il peut donc uniquement évaluer un mot de passe que votre client lui transmet en texte clair.

Amazon Cognito vérifie les connexions qui utilisent le flux with et le ADMIN_USER_PASSWORD_AUTH flux AdminInitiateAuthAPIwith pour détecter les informations d'InitiateAuthAPIidentification USER_PASSWORD_AUTH compromises.

Pour ajouter la protection contre les informations d’identification compromises à votre groupe d’utilisateurs, consultez Fonctionnalités de sécurité avancées du pool d'utilisateurs.