Käyttäjien salasanojen hallinta

Ohjaimen nimi

Salasanakäytännöt

Suositeltu kokoonpano

Salasanakäytännöt määritetään Salasanakäytännöt-osiossa:

• Määritykset Salasana - Määritykset>Salasanan käytännöt
• Kaikkien käyttäjien salasanojen vanhentaminen - 90 päivää, älä valitse - "Ei vanhene koskaan"
• Vahvista salasanahistoria - 5 salasanaa muistissa, älä valitse - "Ei salasanoja muistissa"
• Salasanan vähimmäispituus - 12
• Salasanan monimutkaisuuden vaatimus – Täytyy sisältää 3 seuraavaa: numerot, isot kirjaimet, pienet kirjaimet, erikoismerkit
• Salasanakysymyksen vaatimus - Ei voi sisältää salasanaa
• Virheellisten sisäänkirjautumisyritysten enimmäismäärä - 3
• Lukituksen voimassaoloaika - 15 minuuttia
• Salasanojen nollausten piilevä salainen vastaus - Valitse
• Vaadi salasanan elinkaaren vähintään 1 päivä - Valitse
• Salli setPassword()-API:n käyttö itseruutuksille - Poista valinta

Ohjauksen yleiskatsaus

Salesforcen salasanakäytännöt on suunniteltu noudattamaan vahvoja todennusstandardeja — kuten monimutkaisuutta, pituutta ja vanhentumista — estääkseen valtuuttamattoman käytön ”Brute Force”- tai ”Credential Stuffing” -hyökkäyksiltä.

Tietoturvariski, jos ei määritetty

Heikot tai muuttumattomat salasanat ovat helppo kohde "Brute Force"- ja "Credential Stuffing" -hyökkäyksille, jolloin valtuuttamattomat käyttäjät voivat arvailla, miten he pääsevät CRM-järjestelmääsi. Ilman tiukkoja käytäntöjä hyökkääjä voi yrittää testata tunnusta vähemmällä vaivalla, kunnes hän onnistuneesti vaarantaa tilin ja saa rajoittamattoman pääsyn luottamuksellisiin liiketoimintatietoihisi.

Uhkien skenaariot

Hyökkääjä käyttää muiden verkkosivustojen yleisten tai rikottujen salasanojen luetteloa suorittaakseen Credential Stuffing -hyökkäyksen Salesforce-sisäänkirjautumissivullesi, joka onnistuu arvaamaan epäilyttävän käyttäjän heikon salasanan. Koska lukituksia tai monimutkaisuussääntöjä ei noudateta, hyökkääjä voi kokeilla tuhansia yhdistelmää, kunnes hän saa pääsyn, ja kirjautua sisään suodattaakseen omistettuja asiakasluetteloita ja sisäisiä strategiatiedostoja.

Arvioitu CVSS-pistealue

Kriittinen (9.0–10.0).

Riskien vaikutuksissa huomioitavia asioita

Riskien vakavuus riippuu käyttäjäjoukon koosta ja sisäänkirjautumisen yhteydessä myönnetyistä käyttöoikeuksista.

Korkeampi riski, kun

Käyttäjien henkilöllisyydenvahvistusta ei ole käytössä (MFA tai muut) eikä keskitettyä todennusta (kuten SSO) ole käytössä.

Matala riski tai ei riskiä, kun

Tätä asetusta voidaan pitää vähäriskisenä, kun yksi tai useampi seuraavista on käytössä:

• MFA-vahvistus tai henkilöllisyydenvahvistus on käytössä: MFA on pakollinen Salesforce-käyttäjille
• Keskitetty SSO: SSO-kertakirjautuminen on määritetty kaikille sovellusalustan käyttäjäprofiileille. Pääkäyttäjille SSO-kertakirjautumiskokoonpano voidaan jättää pois korjatakseen SSO-kertakirjautumisen mahdollisen epäonnistumisen riskin luomalla tarkasti hallittu tauon lasitili (kuten Vault).
• Tiukka salasanakäytäntö: Käytössä on tiukka salasanakäytäntö, johon sisältyy salasanan usein kierrättäminen/vanhenemispäivä

Liiketoiminnassa ja integraatiossa huomioitavia asioita

Asiakkaiden tulisi arvioida, miten heidän todennusprosessinsa toteutetaan eri profiilien ja integraatiokäyttäjien kesken.

Suositeltu korjaus

Määritä salasanakäytännöt Salesforcessa tai henkilöllisyydentarjoajan määrityksissä noudattaaksesi tietoturvastandardeja.

Tietoturvan terveystarkastuksen ohjeet

Suojauksen terveystarkastus tunnistaa sovellusalustan kokoonpanon, joka liittyy salasanakäytäntöihin, jotka on määritetty suoraan sovellusalustalla. Jos käytössä on erillinen henkilöllisyydentarjoaja SSO-kokoonpanon kanssa, asiakkaiden tulisi varmistaa, että salasanakäytännöt ovat yhdenmukaisia yrityksen tietoturvastandardien ja toimialan suositeltujen käytäntöjen kanssa.