Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Arbeiten mit der Erkennung kompromittierter Anmeldeinformationen
Amazon Cognito kann erkennen, wenn Benutzername und Passwort eines Benutzers an anderer Stelle kompromittiert wurden. Dies kann der Fall sein, wenn Benutzer Anmeldeinformationen auf mehr als einer Website verwenden, oder wenn sie einfach zu erratende Passwörter auswählen. Amazon Cognito überprüft lokale Benutzer, die sich mit Benutzername und Passwort in der gehosteten Benutzeroberfläche und mit Amazon Cognito API anmelden. Ein lokaler Benutzer existiert ausschließlich in Ihrem Benutzerpool-Verzeichnis ohne Verbund über einen externen IdP.
Auf der Registerkarte Erweiterte Sicherheit der Amazon Cognito Cognito-Konsole können Sie kompromittierte Anmeldeinformationen konfigurieren. Konfigurieren Sie Event detection (Ereigniserkennung), um die Benutzerereignisse auszuwählen, die Sie auf kompromittierte Anmeldeinformationen überwachen möchten. Konfigurieren Sie Compromised credentials responses (Antworten auf kompromittierte Anmeldeinformationen), um zu entscheiden, ob der Benutzer bei Erkennung kompromittierter Anmeldeinformationen zugelassen oder blockiert werden soll. Amazon Cognito kann bei der Registrierung, Anmeldung und bei Passwortänderungen auf kompromittierte Anmeldeinformationen prüfen.
Wenn Sie Anmeldung zulassen wählen, können Sie Amazon CloudWatch Logs überprüfen, um die Bewertungen zu überwachen, die Amazon Cognito zu Benutzerereignissen vornimmt. Weitere Informationen finden Sie unter Metriken zum Schutz vor Bedrohungen anzeigen. Wenn Sie Block sign-in (Anmeldung blockieren) auswählen, verhindert Amazon Cognito die Anmeldung von Benutzern, die kompromittierte Anmeldeinformationen verwenden. Wenn Amazon Cognito die Anmeldung für einen Benutzer blockiert, wird der UserStatus
des Benutzers auf RESET_REQUIRED
festgelegt. Ein Benutzer mit dem Status RESET_REQUIRED
muss sein Passwort ändern, bevor er sich erneut anmelden kann.
Anmerkung
Derzeit sucht Amazon Cognito bei Anmeldevorgängen mit Secure Remote Password () SRP nicht nach kompromittierten Anmeldedaten. SRPsendet bei der Anmeldung einen Hash-Passwortnachweis. Amazon Cognito hat keinen internen Zugriff auf Passwörter und kann daher nur ein Passwort auswerten, das Ihr Kunde ihm im Klartext übergibt.
Amazon Cognito überprüft Anmeldungen, die den With-Flow und AdminInitiateAuthAPIden ADMIN_USER_PASSWORD_AUTH
With-Flow verwenden, auf InitiateAuthAPIUSER_PASSWORD_AUTH
kompromittierte Anmeldeinformationen.
Weitere Informationen darüber, wie Sie Ihrem Benutzerpool einen Schutz gegen nicht mehr zuverlässige Anmeldeinformationen hinzufügen, finden Sie unter Erweiterte Sicherheitsfunktionen für den Benutzerpool.