Uso de la detección de credenciales comprometidas

Amazon Cognito puede detectar si el nombre de usuario y la contraseña de un usuario se han visto comprometidos en otro sitio. Esto puede ocurrir cuando los usuarios reutilizan las credenciales en más de un sitio, o cuando utilizan contraseñas poco seguras. Amazon Cognito comprueba a los usuarios locales que inician sesión con nombre de usuario y contraseña, en el inicio de sesión gestionado y con la API de Amazon Cognito.

En el menú Protección contra amenazas de la consola de Amazon Cognito, puede configurar las credenciales comprometidas. Configure Event detection (Detección de eventos) para elegir los eventos de usuario que desea supervisar en busca de credenciales comprometidas. Configure Compromised credentials responses (Respuestas ante credenciales comprometidas) para elegir si desea permitir o bloquear al usuario si se han detectado credenciales comprometidas. Amazon Cognito puede comprobar si hay credenciales comprometidas durante el inicio de sesión, el registro o los cambios de contraseña.

Si selecciona Permitir inicio de sesión, puede revisar Amazon CloudWatch Logs para supervisar las evaluaciones que Amazon Cognito realiza sobre los eventos de los usuarios. Para obtener más información, consulte Visualización de las métricas de protección contra amenazas. Cuando elige Block sign-in (Bloquear el inicio de sesión), Amazon Cognito impide el inicio de sesión de los usuarios que utilizan credenciales comprometidas. Cuando Amazon Cognito bloquea el inicio de sesión de un usuario, establece el UserStatus de usuario en RESET_REQUIRED. Un usuario con un estado RESET_REQUIRED debe cambiar su contraseña antes de poder iniciar sesión de nuevo.

Las credenciales comprometidas pueden comprobar las contraseñas de las siguientes actividades de usuario.

Sign-up (Registro)

Su grupo de usuarios comprueba las contraseñas que los usuarios transmiten durante la SignUpoperación y en la página de registro del inicio de sesión gestionado para detectar indicios de que están comprometidas.

Inicio de sesión

Su grupo de usuarios comprueba las contraseñas que los usuarios envían al iniciar sesión con contraseñas para detectar indicios de que están en peligro. Amazon Cognito puede revisar el ADMIN_USER_PASSWORD_AUTH flujo de entrada AdminInitiateAuth, el USER_PASSWORD_AUTH flujo de entrada InitiateAuthy la PASSWORD opción del USER_AUTH flujo en ambos.

En este momento, Amazon Cognito no comprueba si hay credenciales comprometidas para las operaciones de inicio de sesión con el flujo Secure Remote Password (SRP). SRP envía una prueba de contraseña cifrada durante el inicio de sesión. Amazon Cognito no tiene acceso a las contraseñas internamente, por lo que solo puede evaluar una contraseña que el cliente le transmita en texto plano.

Restablecimiento de la contraseña

Con la operación de ConfirmForgotPasswordautoservicio de restablecimiento de contraseñas, su grupo de usuarios comprueba si hay indicios de riesgo en las operaciones que establecen contraseñas para nuevos usuarios. El código necesario para esta operación lo genera ForgotPasswordy AdminResetUserPassword.

Las credenciales comprometidas no comprueban las contraseñas temporales o permanentes establecidas por el administrador. AdminSetUserPassword Sin embargo, en el caso de las contraseñas temporales, el grupo de usuarios comprueba las contraseñas en función de las respuestas al NEW_PASSWORD_REQUIRED desafío en y. RespondToAuthChallenge AdminRespondToAuthChallenge

Para añadir protecciones contra credenciales atacadas a un grupo de usuarios, consulte Seguridad avanzada con protección contra amenazas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Protección contra amenazas

Autenticación flexible