使用凭据泄露检测 - Amazon Cognito

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用凭据泄露检测

Amazon Cognito 可以检测用户的用户名和密码是否已在别处遭盗用。这种情况可能出现在用户在多个站点重复使用凭证时或它们使用不安全的密码时。Amazon Cognito 会检查使用用户名和密码、托管用户界面以及使用 Amazon Cognito 登录的本地用户。API本地用户仅存在于您的用户池目录中,无需通过外部 IdP 进行联合身份验证。

在 Amazon Cognito 控制台的 “高级安全” 选项卡中,您可以配置已泄露的证书。配置事件检测以选择要监控的用户事件,以查看是否有已泄露的凭证。配置已泄露凭证的响应,以选择在检测到已泄露的凭证时是允许还是阻止用户。Amazon Cognito 可以在登录、注册和密码更改期间检查是否有已泄露的凭证。

选择 “允许登录” 后,您可以查看 Amazon CloudWatch Logs 以监控 Amazon Cognito 对用户事件所做的评估。有关更多信息,请参阅 查看威胁防护指标。当您选择禁止登录时,Amazon Cognito 会阻止使用已泄露的凭证的用户登录。当 Amazon Cognito 阻止用户登录时,它将用户的 UserStatus 设置为 RESET_REQUIRED。具有 RESET_REQUIRED 状态的用户必须先更改密码,然后才能再次登录。

注意

目前,Amazon Cognito 不会使用安全远程密码 () SRP 流程检查登录操作的凭证是否存在泄露。SRP在登录期间发送经过哈希处理的密码证明。Amazon Cognito 无法在内部访问密码,因此,它只能评估您的客户端以纯文本形式传递给它的密码。

Amazon Cognito 会检查使用 with 流程和 AdminInitiateAuthAPIwit ADMIN_USER_PASSWORD_AUTH h 流程的登录InitiateAuthAPI凭证是否遭到USER_PASSWORD_AUTH泄露。

要向用户池添加已泄露的凭证保护,请参阅 用户池高级安全功能