Lightning Login для входов без пароля

Управление именем

Lightning Login для входа без пароля

Рекомендованная конфигурация

Если Lightning Login включен, разрешите только для пользователей с настроенным полномочием пользователя Lightning Login в профиле пользователя: Ограничение настройки Lightning Login: Настройка>Параметры сеанса>Когда разрешен Lightning Login включен>Установите параметр «Разрешить только для пользователей с включенным полномочием пользователя Lightning Login».

Общие сведения о контроле

Цель управления ограничением Lightning Login только пользователями с определенным полномочием «Пользователь Lightning Login» — обеспечить развертывание проверки подлинности без пароля в качестве привилегированного, детализированного метода доступа, а не по умолчанию в организации. Это обеспечивает, что только авторизованный персонал, прошедший проверку и которому назначен соответствующий профиль безопасности, может обойти традиционный ввод пароля, тем самым минимизируя поверхность атаки и предотвращая несанкционированную или случайную регистрацию в биометрической проверке подлинности для широкой аудитории пользователей. Это уменьшается при внедрении SSO, однако, поскольку SSO может применяться не ко всем профилям, при включении Lightning Login, профили, не настроенные с параметром «Включить SSO», будут иметь Lightning Login включен.

Риск безопасности, если он не настроен

Повышенный риск доступа несанкционированного злоумышленника, который временно скомпрометировал сеанс пользователя для связывания устройства-мошенника, создавая постоянный высоконадежный путь, который пропускает традиционные политики пароля и значительно затрудняет повторную безопасность организации.

Сценарии угроз

Злоумышленник, ненадолго перехвативший сеанс пользователя — или вредоносный инсайдер на оставленном без присмотра ноутбуке — регистрирует собственное устройство с биометрическими возможностями для Lightning Login, поскольку функция не ограничена определенными полномочиями пользователя. После регистрации взломщик может обойти все будущие напоминания пароля, чтобы получить постоянный высокоскоростной доступ к организации Salesforce, что фактически создает постоянный неотслеживаемый бэкдор в конфиденциальных данных.

Примерный диапазон оценки CVSS

Критические (9,0-10,0).

Рекомендации по влиянию риска

Тяжесть риска зависит от численности пользователей и прав доступа, предоставленных при входе.

Повышенный риск при

• Централизованная проверка подлинности пользователя (например, SSO) отсутствует
• Проверка подлинности пользователя не проводится (MFA или другие)
• Для пользователей-администраторов организация разбитого стекла не управляется в защищенном хранилище

Низкий или нулевой риск при

Если Lightning Login на уровне организации не включен Этот элемент управления можно считать низкорисковым при внедрении одного или нескольких из следующих элементов:

• Применяется MFA или проверка подлинности: MFA применяется для пользователей Salesforce
• SSO доступно для всех пользователей: Централизованная проверка подлинности внедрена для всех профилей пользователей
• Организация Break Glass защищена: Организации пользователей-администраторов исключены из единого входа, но защищены в хранилище управления привилегированными организациями
• Ограничение входа IP-адресов на уровне сети: Ограничение входа IP-адресов для пользователей с полномочиями на изменение настроек

Рекомендации по бизнесу и интеграции

Клиенты должны оценить пользователей, которые могут войти с помощью регистрационных данных и минимизировать прямой вход с помощью регистрационных данных.

Рекомендованное исправление

Внедрите ограничение Lightning Login для авторизованных пользователей с полномочием Lightning Login.

Руководство по проверке состояния безопасности

Проверка состояния безопасности оценивает настройку Lightning Login, гарантируя, что при включении Lightning Login настроен на разрешение только авторизованным пользователям или пользователям с полномочием Lightning Login. В соответствии с практиками zero Trust и least privilege для обеспечения безопасности платформы.