Vous êtes ici :
Lightning Login pour le contrôle de connexion sans mot de passe
L'objectif de contrôle de la restriction Lightning Login aux utilisateurs qui disposent de l'autorisation spécifique " Lightning Login User " est de s'assurer que l'authentification sans mot de passe est déployée en tant que méthode d'accès privilégiée et granulaire plutôt que par défaut à l"échelle de l'organisation.
Nom du contrôle
Lightning Login pour la connexion sans mot de passe
Configuration recommandée
Lorsque Lightning Login est activée, autorisez uniquement les utilisateurs qui disposent de l'autorisation Lightning Login User Permission est configurée dans le profil utilisateur : Configuration Restriction Lightning Login : Configuration>Paramètres de session>Lorsque Autoriser Lightning Login activé>Définir l'autorisation Autoriser uniquement pour les utilisateurs qui ont l'autorisation Lightning Login activée.
Vue d'ensemble du contrôle
L'objectif de contrôle qui consiste à restreindre Lightning Login aux seuls utilisateurs qui disposent de l'autorisation spécifique " Lightning Login User " est de s'assurer que l'authentification sans mot de passe est déployée en tant que méthode d'accès privilégiée et granulaire plutôt que par défaut à l"échelle de l'organisation. Cela garantit que seul le personnel autorisé qui a été vérifié et auquel le profil de sécurité approprié a été attribué peut contourner la saisie traditionnelle du mot de passe, réduisant ainsi la surface d'attaque et empêchant l'inscription non autorisée ou accidentelle à l'authentification biométrique par la population générale des utilisateurs. Cependant, comme l'authentification unique peut ne pas être appliquée à tous les profils, lorsque Lightning Login est activée, Lightning Login sera activée pour les profils qui ne sont pas configurés avec Activer l'authentification unique.
Risque de sécurité s'il n'est pas configuré
Risque accru d'accès par un assaillant non autorisé qui a temporairement compromis la session d'un utilisateur pour lier un appareil malhonnête, créant un chemin d'assurance élevée et permanent qui contourne les stratégies de mot de passe traditionnelles et rend le compte beaucoup plus difficile à sécuriser.
Scénarios de menace
Un assaillant qui a brièvement piraté la session d'un utilisateur (ou un initié malveillant sur un ordinateur portable sans surveillance) inscrit son propre appareil biométrique pour Lightning Login car la fonctionnalité n'est pas restreinte par des autorisations utilisateur spécifiques. Une fois inscrit, l'assaillant peut contourner toutes les invites de mot de passe futures pour obtenir un accès permanent et rapide à l'organisation Salesforce, créant ainsi une porte dérobée permanente et introuvable dans les données confidentielles.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
La sévérité du risque dépend de la taille de la population d'utilisateurs et des privilèges d'accès accordés lors de la connexion.
Risque plus élevé quand
- L'authentification centralisée des utilisateurs (telle que l'authentification unique) n'est pas en place
- La vérification de l'identité de l'utilisateur n'est pas en place (MFA ou autres)
- Pour les utilisateurs administrateurs, le compte verre break n'est pas géré dans un coffre-fort sécurisé
Risque faible ou nul
Lorsque Lightning Login au niveau de l'organisation n'est pas activé Ce contrôle peut être considéré comme à faible risque lorsqu'un ou plusieurs des éléments suivants sont implémentés:
- L'application automatique de la MFA ou la vérification de l'identité est en place : Application automatique de la MFA pour les utilisateurs de Salesforce
- L'authentification unique est en place pour tous les utilisateurs : L'authentification centralisée est automatiquement appliquée pour tous les profils utilisateur
- Le compte Break Glass est protégé : Les comptes utilisateur administrateur sont exclus de l'authentification unique, mais sécurisés dans un coffre-fort de gestion des comptes privilégié
- Restriction de la connexion IP au niveau de la couche réseau : Restriction de la connexion IP pour les utilisateurs qui disposent de privilèges de modification de la configuration
Considérations relatives à l'entreprise et à l'intégration
Les clients doivent évaluer les utilisateurs qui peuvent se connecter en utilisant des identifiants et minimiser la connexion directe avec des identifiants.
Remédiation recommandée
Appliquez la restriction Lightning Login aux utilisateurs autorisés qui disposent de l'autorisation Lightning Login.
Guide d'examen sanitaire de sécurité
Security Health Review évalue la configuration Lightning Login pour s'assurer que lorsqu'elle est activée, la Lightning Login est configurée pour autoriser uniquement les utilisateurs autorisés ou disposant de l'autorisation Lightning Login. En alignement avec les pratiques zéro Trust et moindre privilège pour sécuriser la plate-forme.
