Lightning Login for adgangskodefrie logins

Kontrolnavn

Lightning Login til adgangskodefrit login

Anbefalet konfiguration

Når Lightning Login er aktiveret, skal du kun tillade brugere med brugertilladelsen Lightning Login konfigureret i brugerprofilen: Opsætning af Lightning Login: Opsætning>Sessionsindstillinger>Når tillad Lightning Login aktiveret>Indstil Tillad kun for brugere med brugertilladelsen Lightning Login til aktiveret.

Kontroller oversigt

Kontrolmålsætningen med at begrænse Lightning Login til kun brugere med den specifikke tilladelse "Lightning Login" er at sikre, at godkendelse uden adgangskode implementeres som en rettighedsbaseret, detaljeret adgangsmetode snarere end en standard for hele organisationen. Dette sikrer, at kun autoriseret personale, der er blevet undersøgt og tildelt den relevante sikkerhedsprofil, kan tilsidesætte traditionel adgangskodeindtastning og dermed minimere angrebsoverfladen og forhindre uautoriseret eller utilsigtet tilmelding i biometrisk baseret godkendelse af den generelle brugerpopulation. Dette reduceres, når SSO implementeres, men da SSO muligvis ikke anvendes på alle profiler, vil profiler, der ikke er konfigureret med Aktiver SSO, have Lightning Login aktiveret, når Lightning Login er aktiveret.

Sikkerhedsrisiko, hvis den ikke er konfigureret

Øget risiko for adgang fra uautoriserede angribere, der midlertidigt har kompromitteret en brugers session for at linke til en rogue-enhed, hvilket skaber en vedvarende, høj sikringssti, der tilsidesætter traditionelle adgangskodepolitikker og gør det væsentligt vanskeligere at sikre kontoen igen.

Trusselscenarier

En angriber, der kortvarigt har overtaget en brugers session – eller en ondsindet insider på en ubeskyttet bærbar computer – tilmelder sin egen biometriske enhed til Lightning Login, fordi funktionen ikke er begrænset af specifikke brugertilladelser. Når angriberen er tilmeldt, kan vedkommende tilsidesætte alle fremtidige adgangskodemeddelelser for at få vedvarende adgang med høj hastighed til Salesforce-organisationen og dermed effektivt oprette en permanent, sporbar bagdør til følsomme data.

Estimeret CVSS-scoringsinterval

Kritisk (9,0-10,0).

Overvejelser i forbindelse med risikopåvirkning

Risikostyring afhænger af brugerpopulationens størrelse og adgangsrettigheder, der tildeles ved login.

Højere risiko når

• Centraliseret brugergodkendelse (f.eks. SSO) findes ikke
• Brugeridentitetsbekræftelse findes ikke (MFA eller andre)
• For administratorbrugere administreres pauseglaskontoen ikke i en sikker værdiboks

Lav eller ingen risiko når

Når Lightning Login på organisationsniveau ikke er aktiveret Denne kontrol kan betragtes som lav risiko, når et eller flere af følgende er implementeret:

• MFA-håndhævelse eller identitetsbekræftelse er i kraft: MFA håndhæves for Salesforce-brugere
• SSO er i kraft for alle brugere: Centraliseret godkendelse håndhæves for alle brugerprofiler
• Break Glass-konto er beskyttet: Administratorbrugerkonti er ekskluderet fra SSO, men sikret i en Privileged Account Management Vault
• IP-loginbegrænsning på netværkslaget: Begrænsning af IP-login for brugere med rettigheder til at redigere opsætningen

Overvejelser i forbindelse med forretning og integration

Kunder bør evaluere brugere, der kan logge ind ved brug af legitimationsoplysninger og minimere direkte login med legitimationsoplysninger.

Anbefalet rettelse

Håndhæv Lightning Login for autoriserede brugere med Lightning Login.

Vejledning til sikkerhedstilstandsgennemgang

Sikkerhedstilstandscheck evaluerer Lightning Login, så du sikrer, at når det er aktiveret, er Lightning Login konfigureret til kun at tillade godkendte brugere eller brugere med Lightning Login I overensstemmelse med nul Trust og mindste privilegier praksis for at sikre platformen.