Управление паролями пользователей

Управление именем

Политики паролей

Рекомендованная конфигурация

Политики паролей настроены в политиках паролей:

• Настройка пароля - Настройка>Политики паролей
• Срок действия паролей для всех пользователей - 90 дней, не выбирайте - "Срок действия не истекает"
• Журнал внедрения паролей - 5 сохраненных паролей, не выбирайте - "Пароли не запомнились"
• Минимальная длина пароля - 12
• Требование к сложности пароля - Должно содержать 3 из следующих элементов: цифры, прописные буквы, строчные буквы, специальные символы
• Требование к вопросу пароля - Не может содержать пароль
• Максимальное количество недопустимых попыток входа - 3
• Период действия блокировки - 15 минут
• Неочевидный секретный ответ для сброса пароля - Выбрать
• Требовать срок действия пароля минимум 1 день - Выбрать
• Разрешить использование setPassword() API для самостоятельных сбросов - Отменить выбор

Общие сведения о контроле

Политики паролей в Salesforce должны внедрять надежные стандарты проверки подлинности, например, сложность, длину и срок действия, чтобы предотвратить несанкционированный доступ посредством атак «Грубая сила» или «Начинка регистрационных данных».

Риск безопасности, если он не настроен

Слабые или неизменные пароли становятся легкой целью для атак «Грубая сила» и «Начинка регистрационных данных», что позволяет неавторизованным пользователям угадывать свой путь в CRM. Без строгих политик взломщик может попытаться протестировать регистрационные данные с меньшими усилиями, пока он не скомпрометирует организацию и не получит неограниченный доступ к конфиденциальным бизнес-данным.

Сценарии угроз

Взломщик использует список распространенных или взломанных паролей от других веб-сайтов для выполнения атаки стаффинга регистрационных данных на страницу входа Salesforce, успешно угадывая слабый пароль ничего не подозревающего пользователя. Поскольку блокировки и правила сложности не применяются, злоумышленник может попробовать тысячи комбинаций до получения входа, в конечном счете войдя для извлечения личных списков клиентов и внутренних документов стратегии.

Примерный диапазон оценки CVSS

Критические (9,0-10,0).

Рекомендации по влиянию риска

Тяжесть риска зависит от численности пользователей, прав доступа, предоставленных при входе.

Повышенный риск при

Проверка подлинности пользователя (MFA или другие) отсутствует, а централизованная проверка подлинности (например, SSO) отсутствует.

Низкий или нулевой риск при

Этот элемент управления можно считать низкорисковым при внедрении одного или нескольких из следующих элементов:

• Применяется MFA или проверка подлинности: MFA применяется для пользователей Salesforce
• Централизованный единый вход: SSO настроен для всех профилей пользователей на платформе. Для пользователей-администраторов конфигурацию SSO можно исключить, чтобы устранить потенциальный риск сбоя SSO, создав жестко контролируемую организацию разбивочного стекла (например, использование Vault).
• Строгая политика паролей: Строгая политика пароля, которая включает частое изменение/истечение срока действия пароля

Рекомендации по бизнесу и интеграции

Клиенты должны оценить способ внедрения процесса проверки подлинности между разными профилями и пользователями интеграции.

Рекомендованное исправление

Настройте политики паролей в настройках Salesforce или IdP, чтобы соответствовать стандартам безопасности.

Руководство по проверке состояния безопасности

Проверка состояния безопасности определяет конфигурацию платформы, связанную с политиками паролей, которая настроена на платформе напрямую. Если используется отдельный IdP с конфигурацией единой регистрации, клиенты должны обеспечить соответствие политик паролей стандартам безопасности предприятия и рекомендациям отрасли.