Usted está aquí:
API (Activar configuración de OAuth): Activar para flujo de dispositivo - Anulado de selección
Esta configuración de seguridad gestiona la disponibilidad del flujo de autorización de dispositivo, que permite a los usuarios autorizar una aplicación conectada en un dispositivo con recursos restringidos.
Nombre de control
Aplicaciones conectadas: API (Activar configuración de OAuth): Activar para flujo de dispositivo - Anulado de selección
Configuración recomendada
Activar para flujo de dispositivo: anulado la selección.
Descripción general de control
Esta configuración de seguridad gestiona la disponibilidad del flujo de autorización de dispositivo, que permite a los usuarios autorizar una aplicación conectada en un dispositivo con recursos restringidos ingresando un código corto en un dispositivo secundario conectado a la web separado.
Riesgo de seguridad si no está configurado
La activación de flujos de inicio de sesión de dispositivos inseguros para integraciones lleva a una vulnerabilidad donde la vinculación de dispositivos no autorizados facilita la ocupación completa de la sesión de cuenta omitiendo los controles de seguridad basados en navegador estándar.
Escenarios de amenazas
Un atacante utiliza ingeniería social para convencer a un usuario de ingresar un código de autorización malintencionado en una página de verificación legítima de Salesforce, otorgando así al dispositivo deshonesto del atacante acceso persistente a la sesión y los datos del usuario.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
No restringir este flujo permite la generación de tokens de acceso y actualización duraderos sin la protección de una autenticación mutua sólida, lo que podría llevar a movimientos laterales no detectados en el entorno de la organización.
Mayor riesgo cuando
Cuando se otorgan amplios ámbitos a la aplicación conectada o cuando la compañía carece de monitoreo en tiempo real para detectar patrones de entrada de código anómalos desde ubicaciones geográficas no confiables.
Bajo riesgo cuando
Si la compañía requiere autenticación de múltiples factores para todos los intentos de verificación y aplica restricciones estrictas basadas en IP para los dispositivos secundarios utilizados para completar el proceso de autorización.
Consideraciones de negocio e integración
Aunque este flujo está diseñado para hardware con funciones de entrada limitadas como pantallas inteligentes o herramientas de línea de comandos, los estándares de seguridad modernos favorecen métodos más seguros como el flujo de código de autorización con clave de prueba para el intercambio de códigos.
Remediación recomendada
Vaya a la sección API (Activar configuración de OAuth) de la aplicación conectada y asegúrese de que la casilla de verificación para Activar para flujo de dispositivo no está seleccionada para evitar este método de autorización específico.
Directrices de revisión del estado de seguridad
Security Health Review identifica la restricción de flujos de inicio de sesión de dispositivos como un estándar altamente recomendado para minimizar la superficie de ataque de la compañía y evitar la explotación de la verificación de dispositivos secundarios para el secuestro de sesiones.
