身份验证

控件名称

身份验证

推荐配置

配置、验证并定期审查用户身份验证设置，以确保正确设置并与业务流程保持一致。

控制概览

Salesforce 中身份验证设置的控制目标是通过要求用户在登录上下文更改时提供辅助身份证明来强制执行基于风险的身份验证。

安全风险（如果未配置）

主要风险是单个被盗用的密码成为数据的直接网关，因为没有辅助检查来验证用户是他们声称的用户。这允许攻击者从未经授权的设备或位置登录而不被发现，导致静默帐户接管和批量数据泄露。

威胁场景

由于没有配置身份验证，单个泄露的密码成为攻击者从任何无法识别的设备或 IP 登录的路径，而不会触发第二个因素的挑战。这使得黑客能够绕过常见的安全速度障碍，并立即泄露敏感数据。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

风险严重性取决于用户类型及其访问应用程序的方式、用户群体大小、登录时授予的访问权限。

高风险

用户验证设置未配置强声明方法和过大的权限范围。

低风险或无风险

当实施以下一项或多项时，此控制可视为低风险：

• IP 登录限制：具有修改设置权限的用户的 IP 登录限制
• 安全属性映射：用户属性和配置规则的范围严格，以强制执行最低权限。
• 登录超时：当用户注销 Salesforce 时，自动将用户注销服务提供商。
• MFA 执行：为 Salesforce 用户强制执行 MFA

业务和集成注意事项

客户应评估每种验证方法的业务理由，并确保与访问策略、监管要求和用户体验预期保持一致。

建议的补救措施

查看所有配置的用户验证方法，以确保它们符合企业安全策略。

安全健康审查指导

安全健康审查确定了在 Salesforce 中配置的关键身份验证设置，以帮助客户减少身份联合，其中包括 MFA 设置、电子邮件更改的身份验证要求、符合 Salesforce 推荐的安全基准和 Zero Trust 原则的密码重置通知。