Você está aqui:
API (Habilitar configurações do OAuth): Habilitar para fluxo de dispositivo – Controle desmarcado
Essa configuração de segurança gerencia a disponibilidade do fluxo de autorização do dispositivo, que permite aos usuários autorizar um aplicativo conectado em um dispositivo restrito por recurso.
Nome do controle
Aplicativos conectados: API (Habilitar configurações do OAuth): Habilitar para fluxo de dispositivo – Desmarcado
Configuração recomendada
Habilitar para fluxo de dispositivo – Desmarcado.
Visão geral de controle
Essa configuração de segurança gerencia a disponibilidade do fluxo de autorização do dispositivo, que permite que os usuários autorizem um aplicativo conectado em um dispositivo restrito por recurso inserindo um código curto em um dispositivo secundário conectado na Web separado.
Risco de segurança, se não configurado
Habilitar fluxos de login de dispositivo inseguros para integrações leva a uma vulnerabilidade em que a vinculação de dispositivo não autorizada facilita a transferência de sessão de conta completa ignorando os controles de segurança baseados em navegador padrão.
Cenários de ameaça
Um invasor usa engenharia social para convencer um usuário a inserir um código de autorização mal-intencionado em uma página de verificação do Salesforce legítima, concedendo, assim, ao dispositivo inválido do invasor acesso persistente à sessão e aos dados do usuário.
Intervalo de pontuação de CVSS estimado
Alto (7.0–8,9).
Considerações sobre impacto de risco
Não restringir esse fluxo habilita a geração de tokens de atualização e acesso de longa duração sem a proteção de autenticação mútua robusta, o que pode levar a um movimento lateral não detectado dentro do ambiente da organização.
Risco maior quando
Quando o aplicativo conectado recebe escopos amplos ou quando a empresa não tem monitoramento em tempo real para detectar padrões de entrada de código anômalos de locais geográficos não confiáveis.
Baixo risco quando
Se a empresa exigir autenticação multifator para todas as tentativas de verificação e impor restrições estritas baseadas em IP para os dispositivos secundários usados para concluir o processo de autorização.
Considerações de negócios e integração
Embora esse fluxo seja projetado para hardware com recursos de entrada limitados, como telas inteligentes ou ferramentas de linha de comando, os padrões de segurança modernos favorecem métodos mais seguros, como o fluxo de código de autorização com chave de comprovação para troca de código.
Remediação recomendada
Vá para a seção API (Habilitar configurações do OAuth) do aplicativo conectado e verifique se a caixa de seleção Habilitar para fluxo de dispositivo está desmarcada para evitar esse método de autorização específico.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica a restrição de fluxos de login do dispositivo como um padrão altamente recomendado para minimizar a superfície de ataque da empresa e evitar a exploração da verificação de dispositivo secundário para sequestro de sessão.
