检查已泄露的凭证

Amazon Cognito 可以检测用户的用户名和密码是否已在别处遭盗用。这种情况可能出现在用户在多个站点重复使用凭证时或它们使用不安全的密码时。Amazon Cognito 在托管 UI 中和通过 Amazon Cognito API 检查使用用户名和密码登录的本地用户。本地用户仅存在于您的用户池目录中，无需通过外部 IdP 进行联合身份验证。

从 Amazon Cognito 控制台的应用程序集成选项卡的高级安全功能中，您可以配置已泄露的凭证。配置事件检测以选择要监控的用户事件，以查看是否有已泄露的凭证。配置已泄露凭证的响应，以选择在检测到已泄露的凭证时是允许还是阻止用户。Amazon Cognito 可以在登录、注册和密码更改期间检查是否有已泄露的凭证。

选择 “允许登录” 后，您可以查看 Amazon CloudWatch Logs 以监控 Amazon Cognito 对用户事件所做的评估。有关更多信息，请参阅查看高级安全指标。当您选择禁止登录时，Amazon Cognito 会阻止使用已泄露的凭证的用户登录。当 Amazon Cognito 阻止用户登录时，它将用户的 UserStatus 设置为 RESET_REQUIRED。具有 RESET_REQUIRED 状态的用户必须先更改密码，然后才能再次登录。

注意

当前，对于采用安全远程密码（SRP）流程的登录操作，Amazon Cognito 不会检查是否有已泄露的凭证。SRP 在登录期间发送经过哈希处理的密码证明。Amazon Cognito 无法在内部访问密码，因此，它只能评估您的客户端以纯文本形式传递给它的密码。

Amazon Cognito 会检查使用带流AdminInitiateAuth的 API 和带ADMIN_USER_PASSWORD_AUTH流的 InitiateAuthAPI 的登录凭证是否遭到USER_PASSWORD_AUTH泄露。

要向用户池添加已泄露的凭证保护，请参阅 向用户池添加高级安全。