Usted está aquí:
Control de verificación de identidad
El objetivo de control de la configuración de Verificación de identidad en Salesforce es aplicar la autenticación basada en riesgo requiriendo a los usuarios proporcionar pruebas de identidad secundarias siempre que cambie su contexto de inicio de sesión.
Nombre de control
Verificación de identidad
Configuración recomendada
Configure, valide y revise regularmente la configuración de verificación de identidad de usuario para asegurarse de que están configuradas correctamente y se alinean con procesos de negocio.
Descripción general de control
El objetivo de control de la configuración de Verificación de identidad en Salesforce es aplicar la autenticación basada en riesgo requiriendo a los usuarios proporcionar pruebas de identidad secundarias siempre que cambie su contexto de inicio de sesión.
Riesgo de seguridad si no está configurado
El riesgo principal es que una única contraseña comprometida se convierta en una pasarela directa a sus datos, ya que no hay ninguna comprobación secundaria para verificar que el usuario es quien dice ser. Esto permite a los atacantes iniciar sesión desde dispositivos o ubicaciones no autorizados sin ser detectados, lo que lleva a tomas de cuentas silenciosas y exfiltración masiva de datos.
Escenarios de amenazas
Falta de configuración de Verificación de identidad, una única contraseña filtrada se convierte en una ruta para que los atacantes inicien sesión desde cualquier dispositivo o IP no reconocidos sin desencadenar un reto de segundo factor. Esto permite a un hacker omitir los obstáculos de velocidad de seguridad habituales y exfiltrar inmediatamente datos confidenciales.
Intervalo de puntuaje de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones de impacto de riesgo
La gravedad del riesgo depende del tipo de usuarios y cómo acceden a la aplicación, el tamaño de la población de usuarios y los privilegios de acceso otorgados al iniciar sesión.
Mayor riesgo cuando
La configuración de verificación de usuario no está configurada con métodos de afirmación sólidos y ámbitos de permisos excesivos.
Bajo o ningún riesgo cuando
Este control se puede considerar de bajo riesgo cuando se implementa uno o más de los elementos siguientes:
- Restricción de inicio de sesión de IP: Restricción de inicio de sesión de IP para usuarios con privilegios para modificar la configuración
- Asignación de atributos segura: Los atributos de usuario y las reglas de aprovisionamiento tienen un ámbito estricto para aplicar el menor privilegio.
- Tiempo de espera de inicio de sesión: Cierre sesión automáticamente de los usuarios del proveedor de servicio cuando cierran sesión en Salesforce.
- Aplicación de MFA: MFA se aplica para usuarios de Salesforce
Consideraciones de negocio e integración
Los clientes deben evaluar la justificación de negocio para cada método de verificación y garantizar la alineación con políticas de acceso, requisitos normativos y expectativas de experiencia de usuario.
Remediación recomendada
Revise todos los métodos de verificación de usuario configurados para asegurarse de que se alinean con la política de seguridad de la compañía.
Directrices de revisión del estado de seguridad
Security Health Review identifica la configuración de verificación de identidad clave configurada en Salesforce para ayudar a los clientes a reducir la federación de identidad, que incluye la configuración de MFA, el requisito de verificación de identidad para cambios de email, la notificación de restablecimiento de contraseña en alineación con las líneas base de seguridad recomendadas por Salesforce y los principios de Zero Trust.
