Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Trabajando con la detección de credenciales comprometidas
Amazon Cognito puede detectar si el nombre de usuario y la contraseña de un usuario se han visto comprometidos en otro sitio. Esto puede ocurrir cuando los usuarios reutilizan las credenciales en más de un sitio, o cuando utilizan contraseñas poco seguras. Amazon Cognito comprueba a los usuarios locales que inician sesión con el nombre de usuario y la contraseña, en la interfaz de usuario alojada y con Amazon Cognito. API Un usuario local existe exclusivamente en el directorio del grupo de usuarios sin federación a través de un IdP externo.
En la pestaña Seguridad avanzada de la consola de Amazon Cognito, puede configurar las credenciales comprometidas. Configure Event detection (Detección de eventos) para elegir los eventos de usuario que desea supervisar en busca de credenciales comprometidas. Configure Compromised credentials responses (Respuestas ante credenciales comprometidas) para elegir si desea permitir o bloquear al usuario si se han detectado credenciales comprometidas. Amazon Cognito puede comprobar si hay credenciales comprometidas durante el inicio de sesión, el registro o los cambios de contraseña.
Si selecciona Permitir inicio de sesión, puede revisar Amazon CloudWatch Logs para supervisar las evaluaciones que Amazon Cognito realiza sobre los eventos de los usuarios. Para obtener más información, consulte Visualización de las métricas de protección contra amenazas. Cuando elige Block sign-in (Bloquear el inicio de sesión), Amazon Cognito impide el inicio de sesión de los usuarios que utilizan credenciales comprometidas. Cuando Amazon Cognito bloquea el inicio de sesión de un usuario, establece el UserStatus
de usuario en RESET_REQUIRED
. Un usuario con un estado RESET_REQUIRED
debe cambiar su contraseña antes de poder iniciar sesión de nuevo.
nota
Actualmente, Amazon Cognito no comprueba si hay credenciales comprometidas para las operaciones de inicio de sesión con Secure Remote Password () SRP flow. SRPenvía una prueba de contraseña codificada durante el inicio de sesión. Amazon Cognito no tiene acceso a las contraseñas internamente, por lo que solo puede evaluar una contraseña que el cliente le transmita en texto plano.
Amazon Cognito comprueba los inicios de sesión que utilizan with flow y AdminInitiateAuthAPIwith ADMIN_USER_PASSWORD_AUTH
flow para ver si hay InitiateAuthAPIcredenciales USER_PASSWORD_AUTH
comprometidas.
Para añadir protecciones contra credenciales atacadas a un grupo de usuarios, consulte Grupo de usuarios: funciones de seguridad avanzadas.