Bekerja dengan deteksi kredensial-terkompromikan - Amazon Cognito

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan deteksi kredensial-terkompromikan

Amazon Cognito dapat mendeteksi apakah nama pengguna dan kata sandi pengguna telah disusupi di tempat lain. Hal ini dapat terjadi ketika pengguna menggunakan kembali kredensi di lebih dari satu situs, atau ketika mereka menggunakan kata sandi yang tidak aman. Amazon Cognito memeriksa pengguna lokal yang masuk dengan nama pengguna dan kata sandi, di UI yang dihosting, dan dengan Amazon Cognito. API Pengguna lokal ada secara eksklusif di direktori kumpulan pengguna Anda tanpa federasi melalui iDP eksternal.

Dari tab Keamanan lanjutan di konsol Amazon Cognito, Anda dapat mengonfigurasi kredensyal yang dikompromikan. Konfigurasikan deteksi Peristiwa untuk memilih peristiwa pengguna yang ingin Anda pantau untuk kredensi yang disusupi. Konfigurasikan tanggapan kredensyal yang dikompromikan untuk memilih apakah akan mengizinkan atau memblokir pengguna jika kredensyal yang disusupi terdeteksi. Amazon Cognito dapat memeriksa kredensyal yang disusupi selama proses masuk, pendaftaran, dan perubahan kata sandi.

Saat memilih Izinkan masuk, Anda dapat meninjau CloudWatch Log Amazon untuk memantau evaluasi yang dibuat Amazon Cognito pada peristiwa pengguna. Untuk informasi selengkapnya, lihat Melihat metrik perlindungan ancaman. Saat Anda memilih Blokir proses masuk, Amazon Cognito mencegah proses masuk oleh pengguna yang menggunakan kredensi yang disusupi. Saat Amazon Cognito memblokir proses masuk untuk pengguna, Amazon Cognito akan menyetel akses pengguna. UserStatusRESET_REQUIRED Pengguna dengan RESET_REQUIRED status harus mengubah kata sandi mereka sebelum mereka dapat masuk lagi.

catatan

Saat ini, Amazon Cognito tidak memeriksa kredensyal yang dikompromikan untuk operasi masuk dengan alur Kata Sandi Jarak Jauh Aman (). SRP SRPmengirimkan bukti kata sandi yang di-hash saat masuk. Amazon Cognito tidak memiliki akses ke kata sandi secara internal, sehingga hanya dapat mengevaluasi kata sandi yang diteruskan klien Anda dalam teks biasa.

Amazon Cognito memeriksa login yang menggunakan flow with, dan AdminInitiateAuthAPIwith ADMIN_USER_PASSWORD_AUTH flow, untuk kredensi yang InitiateAuthAPIUSER_PASSWORD_AUTHdikompromikan.

Untuk menambahkan perlindungan kredensial yang dikompromikan ke kolam pengguna Anda, lihat Fitur keamanan lanjutan kumpulan pengguna.