本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用遭盜用憑證偵測
Amazon Cognito 可以偵測出使用者的使用者名稱和密碼是否已於其他位置洩漏。這種問題可能發生在使用者在多個網站上重複使用憑證,或使用者使用不安全的密碼。Amazon Cognito 會在受管登入和 Amazon Cognito API 中檢查使用使用者名稱和密碼登入的本機使用者。
從 Amazon Cognito 主控台的威脅防護選單中,您可以設定遭入侵的登入資料。設定 Event detection (事件偵測) 以選擇您想要監控憑證洩漏的使用者事件。設定 Compromised credentials responses (憑證洩漏回應) 以選擇如果偵測到憑證洩漏時,要允許或封鎖該名使用者。Amazon Cognito 可以檢查登入、註冊和密碼變更時期間憑證是否洩漏。
當您選擇 Allow sign-in (允許登入) 時,您可以檢閱 Amazon CloudWatch Logs 以監控 Amazon Cognito 對使用者事件進行的評估。如需詳細資訊,請參閱檢視威脅防護指標。當您選擇 Block sign-in (封鎖登入) 時,Amazon Cognito 可防止使用已洩漏的憑證登入的使用者。Amazon Cognito 封鎖使用者登入時,會將使用者的 UserStatus 設定為 RESET_REQUIRED。狀態為 RESET_REQUIRED 的使用者必須先變更其密碼,才能再次登入。
遭入侵的登入資料可以檢查下列使用者活動的密碼。
- 註冊
-
您的使用者集區會檢查使用者在 SignUp 操作中以及從受管登入的註冊頁面傳輸的密碼,是否有入侵指標。
- 登入
-
您的使用者集區會檢查使用者在密碼型登入中提交的密碼是否有入侵指標。Amazon Cognito 可以檢閱 AdminInitiateAuth 中的
ADMIN_USER_PASSWORD_AUTH流程、InitiateAuth 中的USER_PASSWORD_AUTH流程,以及兩者中的USER_AUTH流程PASSWORD選項。目前 Amazon Cognito 不會針對使用安全遠端密碼 (SRP) 流程的登入操作,檢查憑證是否洩漏。SRP 會在登入期間傳送密碼雜湊函數。Amazon Cognito 無法從內部存取密碼,因此只能評估用戶端以純文字形式傳遞的密碼。
- 密碼重設
-
您的使用者集區會檢查使用 ConfirmForgotPassword 自助式密碼重設操作設定新使用者密碼的操作中是否有入侵指標。此操作所需的程式碼是由 ForgotPassword 和 AdminResetUserPassword 產生。
遭入侵的登入資料不會檢查使用 AdminSetUserPassword 設定的暫時或永久管理員設定密碼。不過,使用臨時密碼時,您的使用者集區會檢查回應 RespondToAuthChallenge 和 AdminRespondToAuthChallenge 中
NEW_PASSWORD_REQUIRED挑戰的密碼。
若要將憑證洩漏保護新增到使用者集區,請參閱 具有威脅防護的進階安全性。
