Verificação de identidade

Nome do controle

Verificação de identidade

Configuração recomendada

Configure, valide e revise regularmente a configuração de verificação de identidade do usuário para garantir que ela esteja configurada corretamente e esteja alinhada aos processos de negócios.

Visão geral de controle

O objetivo de controle das configurações de Verificação de identidade no Salesforce é impor a autenticação baseada em risco exigindo que os usuários forneçam uma comprovação secundária de identidade sempre que o contexto de login mudar.

Risco de segurança, se não configurado

O principal risco é que uma única senha comprometida se torne um gateway direto para seus dados, pois não há nenhuma verificação secundária para verificar se o usuário é quem ele afirma ser. Isso permite que os invasores façam login de dispositivos não autorizados ou locais não detectados, levando a transferências de conta silenciosas e a filtragem de dados em massa.

Cenários de ameaça

Na ausência da Verificação de identidade configurada, uma única senha vazada se torna um caminho para os invasores fazerem login de qualquer dispositivo ou IP não reconhecido sem acionar um desafio de segundo fator. Isso permite que um hacker ignore os problemas de velocidade de segurança usuais e exfiltre imediatamente dados confidenciais.

Intervalo de pontuação de CVSS estimado

Crítico (9.0 a 10.0).

Considerações sobre impacto de risco

A gravidade do risco depende do tipo de usuário e de como ele acessa o aplicativo, do tamanho da população de usuários e dos privilégios de acesso concedidos no login.

Risco maior quando

A configuração de verificação do usuário não é configurada com métodos de declaração forte e escopos de permissão excessivos.

Baixo ou Sem risco quando

Esse controle pode ser considerado de baixo risco quando um ou mais dos seguintes são implementados:

• Restrição de login de IP: Restrição de login de IP para usuários com privilégios para modificar a configuração
• Mapeamento seguro de atributo: Os atributos do usuário e as regras de provisionamento têm um escopo limitado para impor o privilégio mínimo.
• Tempo limite de login: Efetue logout automático dos usuários do provedor de serviços quando eles fizerem logout do Salesforce.
• Aplicação de MFA: A MFA é imposta para usuários do Salesforce

Considerações de negócios e integração

Os clientes devem avaliar a justificativa de negócios para cada método de verificação e garantir o alinhamento com políticas de acesso, requisitos normativos e expectativas de experiência do usuário.

Remediação recomendada

Revise todos os métodos de verificação de usuário configurados para garantir que estejam alinhados à política de segurança corporativa.

Diretriz de revisão de saúde de segurança

A Análise do Security Health identifica as principais configurações de verificação de identidade configuradas no Salesforce para ajudar os clientes a reduzir a federação de identidade, que inclui a configuração de MFA, o requisito de verificação de identidade para alterações de email, a notificação de redefinição de senha de acordo com as linhas de base de segurança recomendadas pelo Salesforce e os princípios Zero Trust.