Du er her:
Lightning Login for pÄlogging uten passord
KontrollmÄlet med Ä begrense Lightning Login til bare brukere med den spesifikke tillatelsen Lightning Login, er Ä sikre at godkjenning uten passord distribueres som en privilegert, detaljert tilgangsmetode i stedet for en organisasjonsomfattende standard.
Navn pÄ kontroll
Lightning Login for pÄlogging uten passord
Anbefalt konfigurasjon
NĂ„r Lightning Login er aktivert, tillater du bare brukere med Lightning Login User Permission konfigurert i brukerprofilen: Oppsett Lightning Login restriksjon: Oppsett>Ăktinnstillinger>NĂ„r tillat Lightning Login aktivert>Angi tillat bare for brukere med brukertillatelsen Lightning Login aktivert til.
Oversikt over kontroll
KontrollmÄlet med Ä begrense Lightning Login til bare brukere med den spesifikke tillatelsen Lightning Login, er Ä sikre at godkjenning uten passord distribueres som en privilegert, detaljert tilgangsmetode i stedet for en organisasjonsomfattende standard. Dette sikrer at bare autorisert personale som har blitt kontrollert og tildelt den riktige sikkerhetsprofilen, kan omgÄ tradisjonell passordoppfÞring, og dermed minimere angrepsflaten og hindre uautorisert eller utilsiktet pÄmelding i biometrisk basert godkjenning av den generelle brukerpopulasjonen. Dette reduseres nÄr SSO implementeres, men fordi SSO kanskje ikke brukes pÄ alle profiler, vil Lightning Login vÊre aktivert nÄr Lightning Login er aktivert, og profiler som ikke er konfigurert med Aktiver SSO.
Sikkerhetsrisiko hvis ikke konfigurert
Ăkt risiko for tilgang fra uautorisert angriper som midlertidig har kompromittert en brukers Ăžkt for Ă„ koble til en rogue-enhet, noe som oppretter en vedvarende, hĂžy sikkerhetsbane som omgĂ„r tradisjonelle passordpolicyer og gjĂžr det betydelig vanskeligere Ă„ sikre kontoen pĂ„ nytt.
Trusselscenarier
En angriper som kortvarig har kapret en brukers Þkt, eller en skadelig insider pÄ en bÊrbar datamaskin uten tilsyn, registrerer sin egen biometriske enhet for Lightning Login fordi funksjonen ikke er begrenset av spesifikke brukertillatelser. NÄr angriperen er registrert, kan vedkommende omgÄ alle fremtidige passordmeldinger for Ä fÄ vedvarende, rask tilgang til Salesforce-organisasjonen, og dermed effektivt opprette en permanent, usporbar bakdÞr til sensitive data.
Beregnet CVSS Score-omrÄde
Kritisk (9.0â10.0).
Viktige punkter om risikoinnvirkning
Risikoens alvorlighetsgrad avhenger av brukerpopulasjonens stÞrrelse og tilgangsrettigheter som gis ved pÄlogging.
HÞyere risiko nÄr
- Sentralisert brukergodkjenning (som SSO) er ikke pÄ plass
- Bekreftelse av brukeridentitet er ikke pÄ plass (MFA eller andre)
- For administratorbrukere behandles ikke pauseglasskontoen i en sikker Vault
Lav eller ingen risiko nÄr
NÄr Lightning Login pÄ organisasjonsnivÄ ikke er aktivert Denne kontrollen kan anses som lav risiko nÄr én eller flere av fÞlgende er implementert:
- MFA-hÄndhevelse eller identitetsbekreftelse er pÄ plass: MFA hÄndheves for Salesforce-brukere
- SSO er pÄ plass for alle brukere: Sentralisert godkjenning hÄndheves for alle brukerprofiler
- Break Glass-kontoen er beskyttet: Administratorbrukerkontoer ekskluderes fra SSO, men sikres i en privilegert kontobehandlingsbeholdning
- IP-pÄloggingsrestriksjon pÄ nettverkslaget: IP-pÄloggingsrestriksjon for brukere med rettigheter til Ä endre oppsettet
Viktige punkter om virksomheten og integrasjonen
Kunder bÞr evaluere brukere som kan logge seg pÄ med legitimasjon, og minimere direkte pÄlogging med legitimasjon.
Anbefalt rettelse
HĂ„ndhev Lightning Login for autoriserte brukere med Lightning Login.
Veiledning for vurdering av sikkerhetstilstand
Sikkerhetstilstandsvurdering evaluerer Lightning Login og sikrer at Lightning Login konfigureres til Ä tillate bare autoriserte brukere eller brukere med Lightning Login nÄr den er aktivert. I samsvar med zero Trust og minst privilegium praksis for Ä sikre plattformen.
