Trabalhar com a detecção de credenciais comprometidas

O Amazon Cognito pode detectar se o nome de usuário e a senha de um usuário foram comprometidos em outro local. Isso pode ocorrer quando os usuários reutilizam credenciais em mais de um local ou quando usam senhas inseguras. O Amazon Cognito confere usuários locais que fazem login com nome de usuário e senha, na interface do usuário hospedada e com a API do Amazon Cognito. Um usuário local existe exclusivamente em seu diretório de grupo de usuários sem federação por meio de um IdP externo.

Na guia Segurança avançada do console do Amazon Cognito, você pode configurar Credenciais comprometidas. Configure Event detection (Detecção de eventos) para escolher os eventos do usuário que você deseja monitorar em relação a credenciais comprometidas. Configure Compromised credentials responses (Respostas de credenciais comprometidas) para escolher se deseja permitir ou bloquear o usuário se forem detectadas credenciais comprometidas. O Amazon Cognito pode conferir a existência de credenciais comprometidas durante o login, o cadastro e as alterações de senha.

Ao escolher Allow sign-in (Permitir login), você pode revisar o Amazon CloudWatch Logs para monitorar as avaliações que o Amazon Cognito realiza sobre os eventos do usuário. Para ter mais informações, consulte Como exibir métricas de proteção contra ameaças. Ao escolher Block sign-in (Bloquear login), o Amazon Cognito impede o login dos usuários que usam credenciais comprometidas. Quando o Amazon Cognito bloqueia o login de um usuário, ele define o UserStatus do usuário como RESET_REQUIRED. Um usuário com o status RESET_REQUIRED precisa alterar a senha para poder fazer login novamente.

Para adicionar proteções contra credenciais comprometidas ao grupo de usuários, consulte Recursos avançados de segurança do grupo de usuários.