檢查憑證是否洩漏

Amazon Cognito 可以偵測出使用者的使用者名稱和密碼是否已於其他位置洩漏。這種問題可能發生在使用者在多個網站上重複使用憑證，或使用者使用不安全的密碼。Amazon Cognito 會檢查在託管的使用者介面中並透過 Amazon Cognito API 以使用者名稱與密碼登入的本機使用者。本機使用者僅存在於您的使用者集區目錄中，不會透過外部 IdP 進行聯合。

從 Amazon Cognito 主控台的進階安全性索引標籤，您可以設定遭入侵的登入資料。設定 Event detection (事件偵測) 以選擇您想要監控憑證洩漏的使用者事件。設定 Compromised credentials responses (憑證洩漏回應) 以選擇如果偵測到憑證洩漏時，要允許或封鎖該名使用者。Amazon Cognito 可以檢查登入、註冊和密碼變更時期間憑證是否洩漏。

選擇「允許登入」時，您可以查看 Amazon CloudWatch 日誌以監控 Amazon Cognito 對使用者事件進行的評估。如需詳細資訊，請參閱 檢視進階安全指標。當您選擇 Block sign-in (封鎖登入) 時，Amazon Cognito 可防止使用已洩漏的憑證登入的使用者。Amazon Cognito 封鎖使用者登入時，會將使用者的 UserStatus 設定為 RESET_REQUIRED。狀態為 RESET_REQUIRED 的使用者必須先變更其密碼，才能再次登入。

注意

目前 Amazon Cognito 不會針對使用安全遠端密碼 (SRP) 流程的登入操作，檢查憑證是否洩漏。SRP 會在登入期間傳送密碼雜湊函數。Amazon Cognito 無法從內部存取密碼，因此只能評估用戶端以純文字形式傳遞的密碼。

Amazon Cognito 會檢查使用 AdminInitiateAuthAPI 與流程搭配使用的登入資料，以及包含ADMIN_USER_PASSWORD_AUTH流程的 InitiateAuthAPI 是否存在遭到入侵的USER_PASSWORD_AUTH登入資料。

若要將憑證洩漏保護新增到使用者集區，請參閱 將進階安全性新增到使用者集區。