Bekerja dengan deteksi kredensial-terkompromikan - Amazon Cognito

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan deteksi kredensial-terkompromikan

Amazon Cognito dapat mendeteksi apakah nama pengguna dan kata sandi pengguna telah disusupi di tempat lain. Hal ini dapat terjadi ketika pengguna menggunakan kembali kredensi di lebih dari satu situs, atau ketika mereka menggunakan kata sandi yang tidak aman. Amazon Cognito memeriksa pengguna lokal yang masuk dengan nama pengguna dan kata sandi, login terkelola, dan dengan Amazon Cognito API.

Dari menu perlindungan Ancaman konsol Amazon Cognito, Anda dapat mengonfigurasi kredensi yang dikompromikan. Konfigurasikan deteksi Peristiwa untuk memilih peristiwa pengguna yang ingin Anda pantau untuk kredensi yang disusupi. Konfigurasikan tanggapan kredensyal yang dikompromikan untuk memilih apakah akan mengizinkan atau memblokir pengguna jika kredensyal yang disusupi terdeteksi. Amazon Cognito dapat memeriksa kredensyal yang disusupi selama proses masuk, pendaftaran, dan perubahan kata sandi.

Saat memilih Izinkan masuk, Anda dapat meninjau CloudWatch Log Amazon untuk memantau evaluasi yang dibuat Amazon Cognito pada peristiwa pengguna. Untuk informasi selengkapnya, lihat Melihat metrik perlindungan ancaman. Saat Anda memilih Blokir proses masuk, Amazon Cognito mencegah proses masuk oleh pengguna yang menggunakan kredensi yang disusupi. Saat Amazon Cognito memblokir proses masuk untuk pengguna, Amazon Cognito akan menyetel akses pengguna. UserStatusRESET_REQUIRED Pengguna dengan RESET_REQUIRED status harus mengubah kata sandi mereka sebelum mereka dapat masuk lagi.

Kredensi yang dikompromikan dapat memeriksa kata sandi untuk aktivitas pengguna berikut.

Daftar

Kumpulan pengguna Anda memeriksa kata sandi yang dikirimkan pengguna dalam SignUpoperasi dan dari halaman pendaftaran login terkelola untuk indikator kompromi.

Masuk

Kumpulan pengguna Anda memeriksa kata sandi yang dikirimkan pengguna dalam login berbasis kata sandi untuk indikator kompromi. Amazon Cognito dapat meninjau ADMIN_USER_PASSWORD_AUTH aliran masuk AdminInitiateAuth, USER_PASSWORD_AUTH aliran masuk InitiateAuth, dan PASSWORD opsi USER_AUTH aliran di keduanya.

Saat ini, Amazon Cognito tidak memeriksa kredenal yang dikompromikan untuk operasi masuk dengan alur Kata Sandi Jarak Jauh Aman (SRP). SRP mengirimkan bukti kata sandi yang di-hash saat masuk. Amazon Cognito tidak memiliki akses ke kata sandi secara internal, sehingga hanya dapat mengevaluasi kata sandi yang diteruskan klien Anda dalam teks biasa.

Pengaturan ulang kata sandi

Kumpulan pengguna Anda memeriksa indikator kompromi dalam operasi yang menetapkan kata sandi pengguna baru dengan operasi pengaturan ulang kata sandi ConfirmForgotPasswordswalayan. Kode yang diperlukan untuk operasi ini dihasilkan oleh ForgotPassworddan AdminResetUserPassword.

Kredensi yang dikompromikan tidak memeriksa kata sandi yang ditetapkan administrator sementara atau permanen yang disetel dengan. AdminSetUserPassword Namun, dengan kata sandi sementara, kumpulan pengguna Anda memeriksa kata sandi dari respons terhadap NEW_PASSWORD_REQUIRED tantangan di RespondToAuthChallengedan AdminRespondToAuthChallenge.

Untuk menambahkan perlindungan kredensial yang dikompromikan ke kolam pengguna Anda, lihat Keamanan tingkat lanjut dengan perlindungan ancaman.