Amazon Cognito
开发人员指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

凭证泄露保护

您的用户可能对多个网站和应用程序重复使用相同的凭证 (即用户名和密码)。如果这些重复使用的凭证被人通过网站漏洞和恶意软件窃取,则它们可能会在 Internet 上传播,而犯罪分子可以在其他地方利用它们。我们的保护功能可以检测用户的凭证是否已在别处泄露,并会阻止在 Amazon Cognito 用户池 中使用它们。如果用户尝试使用泄露的凭证,保护功能会要求他们选择其他密码。

Advanced security 选项卡中,您可以选择在登录、注册和密码更改期间,Amazon Cognito 是否检查泄露的凭证。

目前,Amazon Cognito 不检查采用安全远程密码 (SRP) 流的登录操作中的泄露凭证,该流在登录期间不发送密码。对于使用包含 ADMIN_NO_SRP_AUTH 流的 AdminInitiateAuth API 的登录,则检查是否存在泄露的凭证。

您也可以选择在检测到泄露的凭证时是允许还是阻止用户。如果选择阻止,则需要用户选择另一个密码。如果选择 Allow,则仍会将所有尝试使用泄露的凭证的情况发布到 Amazon CloudWatch。 有关更多信息,请参阅 查看高级安全指标