Amazon Cognito
开发人员指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

凭证泄露保护

您的用户可能对多个网站和应用程序重复使用相同的凭证 (即用户名和密码)。如果这些重复使用的凭证被人通过网站漏洞和恶意软件窃取,则它们可能会在 Internet 上传播,而犯罪分子可以在其他地方利用它们。我们的保护功能可以检测用户的凭证是否已在别处泄露,并会阻止在 Amazon Cognito 用户池 中使用它们。如果用户尝试使用泄露的凭证,保护功能会要求他们选择其他密码。

Advanced security 选项卡中,您可以选择在登录、注册和密码更改期间,Amazon Cognito 是否检查泄露的凭证。

目前,Amazon Cognito 不检查采用安全远程密码 (SRP) 流的登录操作中的泄露凭证,该流在登录期间不发送密码。对于使用包含 ADMIN_NO_SRP_AUTH 流的 AdminInitiateAuth API 的登录,则检查是否存在泄露的凭证。

您也可以选择在检测到泄露的凭证时是允许还是阻止用户。如果选择阻止,则需要用户选择另一个密码。如果选择 Allow,则仍会将所有尝试使用泄露的凭证的情况发布到 Amazon CloudWatch。 有关更多信息,请参阅 查看高级安全指标