As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Trabalhar com a detecção de credenciais comprometidas
O Amazon Cognito pode detectar se o nome de usuário e a senha de um usuário foram comprometidos em outro local. Isso pode ocorrer quando os usuários reutilizam credenciais em mais de um local ou quando usam senhas inseguras. O Amazon Cognito verifica os usuários locais que fazem login com nome de usuário e senha, login gerenciado e com a API do Amazon Cognito. Um usuário local existe exclusivamente em seu diretório de grupo de usuários sem federação por meio de um IdP externo.
No menu Proteção contra ameaças do console do Amazon Cognito, você pode configurar credenciais comprometidas. Configure Event detection (Detecção de eventos) para escolher os eventos do usuário que você deseja monitorar em relação a credenciais comprometidas. Configure Compromised credentials responses (Respostas de credenciais comprometidas) para escolher se deseja permitir ou bloquear o usuário se forem detectadas credenciais comprometidas. O Amazon Cognito pode conferir a existência de credenciais comprometidas durante o login, o cadastro e as alterações de senha.
Ao escolher Permitir login, você pode revisar os Amazon CloudWatch Logs para monitorar as avaliações que o Amazon Cognito faz em eventos de usuários. Para obter mais informações, consulte Como exibir métricas de proteção contra ameaças. Ao escolher Block sign-in (Bloquear login), o Amazon Cognito impede o login dos usuários que usam credenciais comprometidas. Quando o Amazon Cognito bloqueia o login de um usuário, ele define o UserStatus do usuário como RESET_REQUIRED. Um usuário com o status RESET_REQUIRED precisa alterar a senha para poder fazer login novamente.
nota
No momento, o Amazon Cognito não confere credenciais comprometidas para operações de login com o fluxo de Secure Remote Password (SRP). O SRP envia uma prova de senha com hash durante o login. Com o Amazon Cognito não tem acesso às senhas internamente, ele só pode avaliar uma senha que seu cliente transmite para ele em texto simples.
O Amazon Cognito verifica se há credenciais comprometidas em logins que usam a AdminInitiateAuthAPI com ADMIN_USER_PASSWORD_AUTH fluxo e a InitiateAuthAPI com USER_PASSWORD_AUTH fluxo.
Para adicionar proteções contra credenciais comprometidas ao grupo de usuários, consulte Segurança avançada com proteção contra ameaças.
