Du är här:
Lightning Login för lösenordsfri inloggning
Kontrollmålet för att begränsa Lightning Login till endast användare med den specifika behörigheten "Lightning Login User" är att se till att lösenordsfri autentisering distribueras som en privilegierad, detaljerad åtkomstmetod snarare än en organisationsomfattande standard.
Kontrollnamn
Lightning Login för lösenordsfri inloggning
Rekommenderad konfiguration
När Lightning Login är aktiverat, tillåt endast användare med användarbehörigheten Lightning Login konfigurerad i användarprofilen: Konfiguration Begränsning för Lightning Login: Inställningar>Sessionsinställningar>När Tillåt Lightning Login aktiverat>Sätt användarbehörigheten Tillåt endast för användare med Lightning Login till aktiverad.
Kontrollöversikt
Kontrollmålet för att begränsa Lightning Login till endast användare med den specifika behörigheten "Lightning Login User" är att säkerställa att lösenordsfri autentisering distribueras som en privilegierad, detaljerad åtkomstmetod istället för en organisationsomfattande standard. Detta säkerställer att endast auktoriserad personal som har granskats och tilldelats lämplig säkerhetsprofil kan förbigå traditionell lösenordsinmatning, vilket minimerar attackytan och förhindrar obehörig eller oavsiktlig registrering i biometrisk autentisering av den allmänna användarpopulationen. Detta minskas när SSO implementeras, men eftersom SSO kanske inte tillämpas på alla profiler kommer Lightning Login att vara aktiverat för profiler som inte är konfigurerade med Aktivera SSO.
Säkerhetsrisk om den inte är konfigurerad
Ökad risk för åtkomst av obehöriga attacker som tillfälligt har äventyrat en användares session för att länka en oseriös enhet, vilket skapar en beständig väg med hög garanti som kringgår traditionella lösenordspolicyer och gör kontot betydligt svårare att säkra igen.
Hotscenarier
En attackerare som kortvarigt har kapat en användares session—eller en skadlig insider på en obevakad laptop—registrerar sin egen biometriska enhet för Lightning Login eftersom funktionen inte begränsas av specifika användarbehörigheter. När de har registrerats kan de kringgå alla framtida lösenordsuppmaningar för att få beständig åtkomst i hög hastighet till Salesforce-organisationen, vilket effektivt skapar en permanent bakdörr som inte går att spåra till känsliga data.
Uppskattat CVSS-betygintervall
Kritisk (9,0-10,0).
Att tänka på vad gäller riskpåverkan
Riskernas svårighetsgrad beror på användarpopulationens storlek och åtkomstbehörigheter som beviljas vid inloggning.
Högre risk när
- Centraliserad användarautentisering (som SSO) finns inte
- Användaridentitetsbekräftelse finns inte (MFA eller andra)
- För administratörsanvändare hanteras inte brytglaskontot i ett säkert valv
Låg eller ingen risk när
Om Lightning Login på organisationsnivå inte är aktiverat Denna kontroll kan anses vara låg risk när en eller flera av följande implementeras:
- MFA-tillämpning eller identitetsbekräftelse finns: MFA tillämpas för Salesforce-användare
- SSO finns för alla användare: Centraliserad autentisering tillämpas för alla användarprofiler
- Kontot Break Glass är skyddat: Administratörskonton utesluts från SSO, men säkras i ett privilegierat kontohanteringsvalv
- Begränsning av IP-inloggning i nätverkslagret: IP-inloggningsbegränsning för användare med behörighet att ändra inställningarna
Att tänka på vad gäller affärer och integration
Kunder bör utvärdera användare som kan logga in med inloggningsuppgifter och minimera direktinloggning med inloggningsuppgifter.
Rekommenderad åtgärd
Tillämpa begränsningen för Lightning Login till auktoriserade användare med behörigheten Lightning Login.
Vägledning för granskning av säkerhetshälsa
Säkerhetshälsogranskning utvärderar konfigurationen av Lightning Login och säkerställer att Lightning Login när det är aktiverat endast tillåter auktoriserade användare eller användare med behörigheten Lightning Login. I linje med noll Trust och praxis med minst behörighet för att säkra plattformen.
