Usted está aquí:
API (Activar configuración de OAuth): Activar para flujo de dispositivo - Control anulado de selección
Esta configuración de seguridad gestiona la disponibilidad del flujo de autorización de dispositivo, que permite a los usuarios autorizar una aplicación conectada en un dispositivo con recursos limitados.
Nombre de control
Aplicaciones conectadas: API (Activar configuración de OAuth): Activar para flujo de dispositivo - Anulado de selección
Configuración recomendada
Activar para flujo de dispositivo - Anulado de selección.
Descripción general de control
Esta configuración de seguridad gestiona la disponibilidad del flujo de autorización de dispositivo, que permite a los usuarios autorizar una aplicación conectada en un dispositivo con recursos restringidos introduciendo un código corto en un dispositivo secundario conectado a la Web separado.
Riesgo de seguridad si no está configurado
La activación de flujos de inicio de sesión de dispositivos inseguros para integraciones conduce a una vulnerabilidad donde la vinculación de dispositivos no autorizados facilita la apropiación completa de la sesión de cuenta omitiendo los controles de seguridad basados en navegador estándar.
Escenarios de amenazas
Un atacante utiliza ingeniería social para convencer a un usuario de que introduzca un código de autorización malicioso en una página de verificación legítima de Salesforce, otorgando así al dispositivo deshonesto del atacante acceso persistente a la sesión y los datos del usuario.
Intervalo de puntuación de CVSS estimado
Alto (7,0–8,9).
Consideraciones sobre el impacto del riesgo
No restringir este flujo permite la generación de tokens de acceso y actualización duraderos sin la protección de una autenticación mutua sólida, lo que podría llevar a un movimiento lateral no detectado dentro del entorno de la organización.
Riesgo más alto cuando
Cuando se otorgan amplios ámbitos a la aplicación conectada o cuando la empresa carece de supervisión en tiempo real para detectar patrones de entrada de código anómalos desde ubicaciones geográficas no fiables.
Bajo riesgo cuando
Si la empresa impone la autenticación de múltiples factores para todos los intentos de verificación y aplica restricciones estrictas basadas en IP para los dispositivos secundarios utilizados para completar el proceso de autorización.
Consideraciones comerciales y de integración
Aunque este flujo está diseñado para hardware con funciones de entrada limitadas como pantallas inteligentes o herramientas de línea de comandos, los estándares de seguridad modernos favorecen métodos más seguros como el flujo de código de autorización con clave de prueba para el intercambio de códigos.
Remediación recomendada
Vaya a la sección API (Activar configuración de OAuth) de la aplicación conectada y asegúrese de que la casilla de verificación Activar para flujo de dispositivo está anulada para evitar este método de autorización específico.
Directrices de revisión del estado de seguridad
Security Health Review identifica la restricción de flujos de inicio de sesión de dispositivos como un estándar altamente recomendado para minimizar la superficie de ataque de la empresa y evitar la explotación de la verificación de dispositivos secundarios para el secuestro de sesiones.
