检查盗用凭证 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

检查盗用凭证

Amazon Cognito 可检测用户的凭证(用户名和密码)是否已在别处遭盗用。这种情况可能出现在用户在多个站点重复使用凭证时或它们使用不安全的密码时。

从 Amazon Cognito 控制台的 Advanced security(高级安全性)页面中,可以选择在检测到遭盗用的凭证时是允许还是阻止用户。阻止需要用户另外选择一个密码。如果选择 Allow (允许),则会将所有尝试使用遭盗用凭证的情况发布到 Amazon CloudWatch。有关更多信息,请参阅 查看高级安全指标

还可以选择在登录、注册和密码更改期间,Amazon Cognito 是否检查遭盗用的凭证。

注意

当前,对于采用安全远程密码(SRP)流程的登录操作,Amazon Cognito 不会检查遭盗用的凭证,安全远程密码(SRP)流程在登录期间不会发送密码。Amazon Cognito 会检查使用 AdminInitiateAuth API(具有 ADMIN_USER_PASSWORD_AUTH 流)和 InitiateAuth API(具有 USER_PASSWORD_AUTH 流)的登录,查看是否存在泄露的凭证。

要向用户池添加遭盗用凭证保护,请参阅 向用户池添加高级安全