Arbeiten mit der Erkennung kompromittierter Anmeldeinformationen

Amazon Cognito kann erkennen, wenn Benutzername und Passwort eines Benutzers an anderer Stelle kompromittiert wurden. Dies kann der Fall sein, wenn Benutzer Anmeldeinformationen auf mehr als einer Website verwenden, oder wenn sie einfach zu erratende Passwörter auswählen. Amazon Cognito überprüft lokale Benutzer, die sich mit Benutzername und Passwort, mit verwalteter Anmeldung und mit der Amazon Cognito Cognito-API anmelden.

Im Bedrohungsschutz-Menü der Amazon Cognito Cognito-Konsole können Sie kompromittierte Anmeldeinformationen konfigurieren. Konfigurieren Sie Event detection (Ereigniserkennung), um die Benutzerereignisse auszuwählen, die Sie auf kompromittierte Anmeldeinformationen überwachen möchten. Konfigurieren Sie Compromised credentials responses (Antworten auf kompromittierte Anmeldeinformationen), um zu entscheiden, ob der Benutzer bei Erkennung kompromittierter Anmeldeinformationen zugelassen oder blockiert werden soll. Amazon Cognito kann bei der Registrierung, Anmeldung und bei Passwortänderungen auf kompromittierte Anmeldeinformationen prüfen.

Wenn Sie Anmeldung zulassen wählen, können Sie Amazon CloudWatch Logs überprüfen, um die Bewertungen zu überwachen, die Amazon Cognito zu Benutzerereignissen vornimmt. Weitere Informationen finden Sie unter Kennzahlen zum Schutz vor Bedrohungen anzeigen. Wenn Sie Block sign-in (Anmeldung blockieren) auswählen, verhindert Amazon Cognito die Anmeldung von Benutzern, die kompromittierte Anmeldeinformationen verwenden. Wenn Amazon Cognito die Anmeldung für einen Benutzer blockiert, wird der UserStatus des Benutzers auf RESET_REQUIRED festgelegt. Ein Benutzer mit dem Status RESET_REQUIRED muss sein Passwort ändern, bevor er sich erneut anmelden kann.

Durch kompromittierte Anmeldeinformationen können Passwörter für die folgenden Benutzeraktivitäten überprüft werden.

Registrieren

Ihr Benutzerpool überprüft die Passwörter, die Benutzer während des SignUpVorgangs und auf der Anmeldeseite des verwalteten Logins übertragen, auf Anzeichen für kompromittierte Zugriffe.

Anmelden

Ihr Benutzerpool überprüft Passwörter, die Benutzer bei der kennwortbasierten Anmeldung eingeben, auf Anzeichen für eine Gefährdung. Amazon Cognito kann den ADMIN_USER_PASSWORD_AUTH Flow-In AdminInitiateAuth, den USER_PASSWORD_AUTH Flow-In InitiateAuthund die PASSWORD USER_AUTH Flow-Option in beiden Fällen überprüfen.

Derzeit führt Amazon Cognito bei der Anmeldung mit SRP (Secure Remote Password) keine Prüfung auf kompromittierte Anmeldeinformationen durch. SRP sendet bei der Anmeldung einen Hash-Passwortnachweis. Amazon Cognito hat keinen internen Zugriff auf Passwörter und kann daher nur ein Passwort auswerten, das Ihr Kunde ihm im Klartext übergibt.

Zurücksetzen des Passworts

Ihr Benutzerpool sucht bei Vorgängen, bei denen neue Benutzerkennwörter mit dem ConfirmForgotPasswordSelf-Service-Vorgang zum Zurücksetzen von Passwörtern festgelegt werden, nach Anzeichen für eine Kompromittierung. Der Code, der für diesen Vorgang erforderlich ist, wird von ForgotPasswordund AdminResetUserPasswordgeneriert.

Bei kompromittierten Anmeldeinformationen werden temporäre oder permanente, vom Administrator festgelegte Passwörter, die mit eingerichtet wurden, nicht überprüft. AdminSetUserPassword Bei temporären Kennwörtern überprüft Ihr Benutzerpool jedoch die Passwörter anhand der Antworten auf die NEW_PASSWORD_REQUIRED Abfrage in und. RespondToAuthChallenge AdminRespondToAuthChallenge

Weitere Informationen darüber, wie Sie Ihrem Benutzerpool einen Schutz gegen nicht mehr zuverlässige Anmeldeinformationen hinzufügen, finden Sie unter Erweiterte Sicherheit mit Bedrohungsschutz.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Schutz vor Bedrohungen

Adaptive Authentifizierung