Trabalhar com a detecção de credenciais comprometidas

O Amazon Cognito pode detectar se o nome de usuário e a senha de um usuário foram comprometidos em outro local. Isso pode ocorrer quando os usuários reutilizam credenciais em mais de um local ou quando usam senhas inseguras. O Amazon Cognito verifica os usuários locais que fazem login com nome de usuário e senha, login gerenciado e com a API do Amazon Cognito.

No menu Proteção contra ameaças do console do Amazon Cognito, você pode configurar credenciais comprometidas. Configure Event detection (Detecção de eventos) para escolher os eventos do usuário que você deseja monitorar em relação a credenciais comprometidas. Configure Compromised credentials responses (Respostas de credenciais comprometidas) para escolher se deseja permitir ou bloquear o usuário se forem detectadas credenciais comprometidas. O Amazon Cognito pode conferir a existência de credenciais comprometidas durante o login, o cadastro e as alterações de senha.

Ao escolher Permitir login, você pode revisar os Amazon CloudWatch Logs para monitorar as avaliações que o Amazon Cognito faz em eventos de usuários. Para obter mais informações, consulte Como exibir métricas de proteção contra ameaças. Ao escolher Block sign-in (Bloquear login), o Amazon Cognito impede o login dos usuários que usam credenciais comprometidas. Quando o Amazon Cognito bloqueia o login de um usuário, ele define o UserStatus do usuário como RESET_REQUIRED. Um usuário com o status RESET_REQUIRED precisa alterar a senha para poder fazer login novamente.

As credenciais comprometidas podem verificar as senhas da seguinte atividade do usuário.

Cadastrar-se

Seu grupo de usuários verifica as senhas que os usuários transmitem na SignUpoperação e na página de inscrição do login gerenciado em busca de indicadores de comprometimento.

Fazer login

Seu grupo de usuários verifica as senhas que os usuários enviam no login baseado em senha em busca de indicadores de comprometimento. O Amazon Cognito pode analisar o ADMIN_USER_PASSWORD_AUTH fluxo de AdminInitiateAuthentrada, o USER_PASSWORD_AUTH fluxo de InitiateAuthentrada e a PASSWORD opção do USER_AUTH fluxo em ambos.

No momento, o Amazon Cognito não confere credenciais comprometidas para operações de login com o fluxo de Secure Remote Password (SRP). O SRP envia uma prova de senha com hash durante o login. Com o Amazon Cognito não tem acesso às senhas internamente, ele só pode avaliar uma senha que seu cliente transmite para ele em texto simples.

Redefinição de senhas

Seu grupo de usuários verifica os indicadores de comprometimento nas operações que definem novas senhas de usuário com a operação de redefinição ConfirmForgotPasswordde senha de autoatendimento. O código necessário para essa operação é gerado por ForgotPassword AdminResetUserPassworde.

As credenciais comprometidas não verificam as senhas temporárias ou permanentes definidas pelo administrador definidas com. AdminSetUserPassword No entanto, com senhas temporárias, seu grupo de usuários verifica as senhas a partir das respostas ao NEW_PASSWORD_REQUIRED desafio em RespondToAuthChallenge AdminRespondToAuthChallengee.

Para adicionar proteções contra credenciais comprometidas ao grupo de usuários, consulte Segurança avançada com proteção contra ameaças.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Proteção contra ameaças

Autenticação adaptável