Lightning Login salasanattoman sisäänkirjautumisen hallintaan

Ohjaimen nimi

Lightning Login salasanattomalle sisäänkirjautumiselle

Suositeltu kokoonpano

Kun Lightning Login on käytössä, salli vain käyttäjille, joilla on Lightning Login -käyttöoikeus määritettynä käyttäjäprofiilissa: Lightning Login määritysoikeus: Määritykset>Istuntoasetukset>Kun Lightning Login otetaan käyttöön>Määritä Salli vain käyttäjille, joilla on Lightning Login -käyttöoikeus käytössä.

Ohjauksen yleiskatsaus

Lightning Loginin rajoittamisen tavoitteena on rajoittaa Lightning Login vain käyttäjille, joilla on tietty "Lightning Login -käyttäjä" -käyttöoikeus, ja varmistaa, että salasanaton todennus otetaan käyttöön etuoikeutettuna ja tarkempana käyttöoikeusmenetelmänä organisaationlaajuisena oletusasetuksena. Näin varmistetaan, että vain valtuutettu henkilöstö, joka on tarkastettu ja joka on kohdistettu asiaankuuluvaan suojausprofiiliin, voi ohittaa perinteisen salasanan syöttämisen, mikä minimoi hyökkäyksen pinnan ja estää yleisen käyttäjäjoukon valtuuttamattoman tai vahingossa rekisteröitymisen biometriseen todennukseen. Tämä vähenee SSO-kertakirjautumisen käyttöönoton yhteydessä, mutta koska SSO-kertakirjautumista ei välttämättä sovelleta kaikkiin profiileihin, kun Lightning Login on käytössä, Lightning Login on käytössä profiileille, jotka eivät ole määritetty ottamaan SSO-kertakirjautumista käyttöön.

Tietoturvariski, jos ei määritetty

Lisääntynyt riski, että valtuuttamaton hyökkääjä on vahingoittanut käyttäjän istuntoa linkittääkseen roskapostilaitteen, mikä luo pysyvän ja luotettavan polun, joka ohittaa perinteiset salasanakäytännöt ja tekee tilin suojaamisesta merkittävästi vaikeampaa.

Uhkien skenaariot

Hyökkääjä, joka on lyhyesti kaapannut käyttäjän istunnon — tai pahantahtoinen sisällöntuottaja valvomatta kannettavasta kannettavasta tietokoneesta — rekisteröi Lightning Login oman biometrisesti toimivan laitteensa, koska kyseistä ominaisuutta ei ole rajoitettu tietyillä käyttöoikeuksilla. Kun hyökkääjä on rekisteröitynyt, hän voi ohittaa kaikki tulevat salasanojen kehotteet saadakseen pysyvän ja nopean pääsyn Salesforce-organisaatioon, mikä luo pysyvän, jäljittämättömän taustaportin luottamuksellisiin tietoihin.

Arvioitu CVSS-pistealue

Kriittinen (9.0–10.0).

Riskien vaikutuksissa huomioitavia asioita

Riskien vakavuus riippuu käyttäjäjoukon koosta ja sisäänkirjautumisen yhteydessä myönnetyistä käyttöoikeuksista.

Korkeampi riski, kun

• Keskitettyä käyttäjien todennusta (kuten SSO) ei ole käytössä
• Käyttäjän henkilöllisyydenvahvistusta ei ole käytössä (MFA tai muut)
• Pääkäyttäjien keskeytettyä lasitiliä ei hallita suojatussa tallennustilassa

Matala riski tai ei riskiä, kun

Kun Lightning Login ei ole käytössä organisaatiotasolla, tätä asetusta voidaan pitää vähäriskisenä, kun yksi tai useampi seuraavista on käytössä:

• MFA-vahvistus tai henkilöllisyydenvahvistus on käytössä: MFA on pakollinen Salesforce-käyttäjille
• SSO on käytössä kaikille käyttäjille: Keskitetty todennus on käytössä kaikille käyttäjäprofiileille
• Break Glass -tili on suojattu: Pääkäyttäjien tilit jätetään pois SSO-kertakirjautumisesta, mutta ne on suojattu Privileged Account Management -säiliössä
• IP-kirjautumisen rajoitus verkkokerroksessa: IP-kirjautumisen rajoitus käyttäjille, joilla on oikeus muokata määrityksiä

Liiketoiminnassa ja integraatiossa huomioitavia asioita

Asiakkaiden tulisi arvioida käyttäjät, jotka voivat kirjautua sisään tunnuksilla, ja minimoida suora sisäänkirjautuminen tunnuksilla.

Suositeltu korjaus

Ota Lightning Login -rajoitus käyttöön valtuutetuille käyttäjille, joilla on Lightning Login -käyttöoikeus.

Tietoturvan terveystarkastuksen ohjeet

Suojauksen terveystarkastus arvioi Lightning Login -määritykset varmistaakseen, että kun Lightning Login otetaan käyttöön, se on määritetty sallimaan vain valtuutetut käyttäjät tai käyttäjät, joilla on Lightning Login. Yhteensopiva nollan Trust ja vähiten käyttöoikeuksia käyttävien käytäntöjen kanssa sovellusalustan suojaamiseksi.