本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用妥協認證偵測
Amazon Cognito 可以偵測出使用者的使用者名稱和密碼是否已於其他位置洩漏。這種問題可能發生在使用者在多個網站上重複使用憑證,或使用者使用不安全的密碼。Amazon Cognito 會檢查使用者名稱和密碼登入、託管使用者介面和 Amazon Cognito API 登入的本機使用者。本機使用者僅存在於您的使用者集區目錄中,不會透過外部 IdP 進行聯合。
從 Amazon Cognito 主控台的進階安全性索引標籤,您可以設定遭入侵的登入資料。設定 Event detection (事件偵測) 以選擇您想要監控憑證洩漏的使用者事件。設定 Compromised credentials responses (憑證洩漏回應) 以選擇如果偵測到憑證洩漏時,要允許或封鎖該名使用者。Amazon Cognito 可以檢查登入、註冊和密碼變更時期間憑證是否洩漏。
選擇「允許登入」時,您可以查看 Amazon CloudWatch 日誌以監控 Amazon Cognito 對使用者事件進行的評估。如需詳細資訊,請參閱檢視威脅防護指標。當您選擇 Block sign-in (封鎖登入) 時,Amazon Cognito 可防止使用已洩漏的憑證登入的使用者。Amazon Cognito 封鎖使用者登入時,會將使用者的 UserStatus 設定為 RESET_REQUIRED。狀態為 RESET_REQUIRED 的使用者必須先變更其密碼,才能再次登入。
注意
目前,Amazon Cognito 不會針對使用安全遠端密碼 (SRP) 流程的登入作業檢查是否有洩露的登入資料。SRP在登入期間傳送雜湊的密碼證明。Amazon Cognito 無法從內部存取密碼,因此只能評估用戶端以純文字形式傳遞的密碼。
Amazon Cognito 會檢查使用與流程的登入,以及AdminInitiateAuthAPI與ADMIN_USER_PASSWORD_AUTH流程,是否InitiateAuthAPI有USER_PASSWORD_AUTH遭到入侵的登入資料。
若要將憑證洩漏保護新增到使用者集區,請參閱 使用者集區進階安全功能。
