Administrer brugeradgangskoder

Kontrolnavn

Adgangskodepolitikker

Anbefalet konfiguration

Adgangskodepolitikker konfigureres i adgangskodepolitikker:

• Opsætning Adgangskode - Opsætning>Adgangskodepolitikker
• Lad adgangskoder udløbe for alle brugere - 90 dage, vælg ikke - "Løber aldrig ud"
• Håndhæv adgangskodehistorik - 5 huskede adgangskoder, vælg ikke - "Ingen huskede adgangskoder"
• Mindste længde på adgangskode - 12
• Krav til adgangskodekompleksitet - Skal indeholde 3 af følgende: tal, store bogstaver, små bogstaver, specialtegn
• Krav til adgangskodespørgsmål - Kan ikke indeholde adgangskode
• Maksimalt antal ugyldige loginforsøg - 3
• Lockout ikrafttrædelsesperiode - 15 minutter
• Ukendt hemmeligt svar for adgangskodenulstillinger - Vælg
• Kræv en minimum levetid for adgangskode på 1 dag - Vælg
• Tillad brug af setPassword() API til selvnulstillinger - Fravælg

Kontroller oversigt

Adgangskodepolitikker i Salesforce er til at håndhæve solide godkendelsesstandarder – f.eks. kompleksitet, længde og udløb – for at forhindre uautoriseret adgang via "Brute Force"- eller "Credential Stuffing"-angreb.

Sikkerhedsrisiko, hvis den ikke er konfigureret

Svage eller uændrede adgangskoder bliver et nemt mål for "Brute Force"- og "Credential Stuffing"-angreb, så uautoriserede brugere kan gætte deres vej ind i dit CRM. Uden strenge politikker kan en angriber forsøge at teste legitimationsoplysningerne med mindre indsats, indtil vedkommende kompromitterer en konto og får ubegrænset adgang til dine følsomme forretningsdata.

Trusselscenarier

En angriber bruger en liste over almindelige eller brudte adgangskoder fra andre websites til at udføre et angreb med stjålne legitimationsoplysninger mod din Salesforce-loginside og gætte den svage adgangskode for en mistænkelig bruger. Da der ikke håndhæves nogen spærringer eller kompleksitetsregler, kan angriberen prøve tusindvis af kombinationer, indtil vedkommende får adgang, og til sidst logge ind for at udfiltrere egne kundelister og interne strategidokumenter.

Estimeret CVSS-scoringsinterval

Kritisk (9,0-10,0).

Overvejelser i forbindelse med risikopåvirkning

Risikostyring afhænger af brugerpopulationens størrelse, adgangsrettigheder, der tildeles ved login.

Højere risiko når

Brugeridentitetsbekræftelse findes ikke (MFA eller andre), og centraliseret godkendelse (f.eks. SSO) findes ikke.

Lav eller ingen risiko når

Denne kontrol kan betragtes som lav risiko, når et eller flere af følgende implementeres:

• MFA-håndhævelse eller identitetsbekræftelse er i kraft: MFA håndhæves for Salesforce-brugere
• Centraliseret SSO: SSO konfigureres for alle brugerprofiler i platformen. For administratorbrugere kan SSO-konfiguration udelukkes for at håndtere den potentielle risiko for SSO-fejl ved at oprette en nøje kontrolleret pauseglaskonto (f.eks. ved brug af Vault).
• Streng adgangskodepolitik: Streng adgangskodepolitik, der inkluderer hyppig rotation af adgangskode/udløbsdato

Overvejelser i forbindelse med forretning og integration

Kunder bør evaluere, hvordan deres godkendelsesproces implementeres mellem forskellige profiler og integrationsbrugere.

Anbefalet rettelse

Opsæt adgangskodepolitikker i Salesforce eller IdP-konfiguration, så de stemmer overens med sikkerhedsstandarder.

Vejledning til sikkerhedstilstandsgennemgang

Sikkerhedstilstandscheck identificerer den platformskonfiguration, der er relateret til adgangskodepolitikker, der er konfigureret i platformen direkte. Hvis der bruges en separat IdP med SSO-konfiguration på plads, skal kunderne sikre, at adgangskodepolitikkerne er i overensstemmelse med virksomhedens sikkerhedsstandarder og bedste fremgangsmåde i branchen.