Gerenciar controle de senhas do usuário

Nome do controle

Políticas de senha

Configuração recomendada

As políticas de senha são configuradas nas Políticas de senha:

• Configurar senha – Configuração>Políticas de senha
• Expirar senhas para todos os usuários – 90 dias, não selecionar – "Nunca expira"
• Impor histórico de senhas – 5 senhas lembradas, não selecionar – "Sem senhas lembradas"
• Comprimento mínimo da senha – 12
• Requisito de complexidade de senha – deve incluir três dos seguintes: números, letras maiúsculas, letras minúsculas, caracteres especiais
• Requisito de pergunta de senha – Não pode conter senha
• Número máximo de tentativas inválidas de login - 3
• Período efetivo de bloqueio – 15 minutos
• Resposta de segredo obscuro para redefinições de senha – Selecionar
• Exigir uma vida útil mínima de 1 dia para senha – Selecionar
• Permitir o uso da API setPassword() para autorredefinições – Desmarcar

Visão geral de controle

As políticas de senha no Salesforce são para impor padrões de autenticação robustos, como complexidade, duração e expiração, para evitar o acesso não autorizado por meio de ataques de "Força bruta" ou "Preenchimento de credenciais".

Risco de segurança, se não configurado

Senhas fracas ou que não mudam tornam-se um alvo fácil para ataques de "Força bruta" e "Preenchimento de credenciais", permitindo que usuários não autorizados adivinhem o caminho para o seu CRM. Sem políticas rígidas, um invasor pode tentar testar a credencial com menos esforço até comprometer com sucesso uma conta e obter acesso irrestrito aos seus dados comerciais confidenciais.

Cenários de ameaça

Um invasor usa uma lista de senhas comuns ou violadas de outros sites para realizar um ataque de Preenchimento de credenciais contra sua página de login do Salesforce, adivinhando com sucesso a senha fraca de um usuário sem suspeita. Como nenhuma regra de complexidade ou bloqueio é imposta, o invasor pode tentar milhares de combinações até que ele obtenha entrada, eventualmente fazendo login para filtrar listas de clientes proprietárias e documentos de estratégia interna.

Intervalo de pontuação de CVSS estimado

Crítico (9.0 a 10.0).

Considerações sobre impacto de risco

A gravidade do risco depende do tamanho da população de usuários e dos privilégios de acesso concedidos no login.

Risco maior quando

A verificação de identidade do usuário não está em vigor (MFA ou outros) e a autenticação centralizada (como SSO) não está em vigor.

Baixo ou Sem risco quando

Esse controle pode ser considerado de baixo risco quando um ou mais dos seguintes são implementados:

• A imposição de MFA ou a verificação de identidade está em vigor: A MFA é imposta para usuários do Salesforce
• SSO centralizado: O SSO é configurado para todos os perfis de usuário na plataforma. Para usuários administradores, a configuração de SSO pode ser excluída para lidar com o possível risco de falha de SSO criando uma conta de vidro de interrupção controlada (por exemplo, usando o Vault).
• Política de senha rígida: Política de senha rígida em vigor que inclui, rotação frequente de senha/data de expiração

Considerações de negócios e integração

Os clientes devem avaliar como seu processo de autenticação é implementado entre vários perfis e usuários de integração.

Remediação recomendada

Configure políticas de senha na configuração do Salesforce ou IdP para se alinhar aos padrões de segurança.

Diretriz de revisão de saúde de segurança

A Análise de integridade de segurança identifica a configuração de plataforma relacionada às políticas de senha configuradas na plataforma diretamente. Se um IdP separado for usado com a configuração de SSO em vigor, os clientes deverão garantir que as políticas de senha estejam alinhadas aos padrões de segurança corporativos e às práticas recomendadas do setor.