侵害された認証情報の検出の使用 - Amazon Cognito

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

侵害された認証情報の検出の使用

Amazon Cognito は、ユーザーのユーザー名とパスワードが他の場所で侵害されたかどうかを検出できます。これは、ユーザーが複数のサイトで認証情報を再利用したり、安全でないパスワードを使用したりするときに発生します。Amazon Cognito は、ユーザー名とパスワード、ホストされた UI、および Amazon Cognito でサインインするローカルユーザーをチェックしますAPI。ローカルユーザーは、外部 IdP を介したフェデレーションなしに、ユーザープールディレクトリにのみ存在します。

Amazon Cognito コンソールの高度なセキュリティタブから、侵害された認証情報 を設定できます。[Event detection] (イベント検出) を設定して、侵害された認証情報を監視するユーザーイベントを選択します。[Compromised credentials responses] (侵害された認証情報の応答) を設定し、侵害された認証情報が検出された場合にユーザーを許可するかブロックするかを選択します。Amazon Cognito は、サインイン時、サインアップ時、パスワード変更時に侵害された認証情報をチェックすることができます。

サインインを許可する を選択すると、Amazon CloudWatch Logs を確認して、Amazon Cognito がユーザーイベントに対して行う評価をモニタリングできます。詳細については、「脅威保護メトリクスの表示」を参照してください。[Block sign-in] (サインインをブロックする) を選択する場合、Amazon Cognito は、侵害された認証情報を使用するユーザーによるサインインを防止します。Amazon Cognito がユーザーのサインインをブロックすると、ユーザーの UserStatusRESET_REQUIRED に設定されます。RESET_REQUIRED ステータスのユーザーは、再度サインインする前にパスワードを変更する必要があります。

注記

現在、Amazon Cognito は、Secure Remote Password (SRP) フローを使用してサインインオペレーションの認証情報が侵害されていないかどうかを確認しません。SRP は、サインイン中にハッシュされたパスワードの証明を送信します。Amazon Cognito は内部でパスワードにアクセスできないため、クライアントがプレーンテキストで渡したパスワードのみを評価できます。

Amazon Cognito は、ADMIN_USER_PASSWORD_AUTHフローAdminInitiateAuthAPIで を使用するサインインと、USER_PASSWORD_AUTHフローInitiateAuthAPIで を使用するサインインで、認証情報の侵害をチェックします。

漏洩した認証情報の保護をユーザープールに追加するには、「ユーザープールの高度なセキュリティ機能」を参照してください。