Vous êtes ici :
Paramètres de la messagerie de bienvenue des nouveaux utilisateurs
Le paramètre Salesforce « Expiration du lien » pour les e-mails de bienvenue est un contrôle de sécurité qui définit la période pendant laquelle le lien d'activation d'un nouvel utilisateur reste actif.
Nom du contrôle
Activation du nouvel utilisateur
Configuration recommandée
- Paramètre Nouvel e-mail de bienvenue de l'utilisateur Expiration définie sur 1 jour
Configuration>Paramètres de session>Paramètres de messagerie de bienvenue du nouvel utilisateur>Le lien expire dans 1 jour.
Vue d'ensemble du contrôle
Le paramètre Salesforce « Expiration du lien » pour les e-mails de bienvenue est un contrôle de sécurité qui définit la période pendant laquelle le lien d'activation d'un nouvel utilisateur reste actif. En limitant cette fenêtre, les administrateurs s'assurent que les liens inutilisés ou interceptés deviennent inutiles après une courte période, ce qui réduit le risque d'accès non autorisé aux comptes via des identifiants périmés.
Risque de sécurité s'il n'est pas configuré
Sans une limite stricte à l'expiration des e-mails d'activation utilisateur, l'organisation est exposée à un risque accru de prise de contrôle de compte non autorisée si un lien de « bienvenue » est intercepté ou accédé dans une Inbox de réception d'e-mails compromise longtemps après son envoi. Cette fenêtre d'opportunité étendue permet aux acteurs des menaces d'activer le compte et de définir leurs propres identifiants, en contournant la fenêtre de sécurité voulue et en obtenant potentiellement une entrée inaperçue dans l'environnement Salesforce.
Scénarios de menace
Un acteur de la menace obtient l'accès à la Inbox d'un utilisateur et trouve un lien d'activation non expiré envoyé des jours ou des semaines plus tôt en raison d'une absence de limites d'expiration strictes. Ils utilisent le lien avec succès pour définir leurs propres identifiants et pirater le compte, s'implantant ainsi légitimement dans votre environnement Salesforce avant que l'utilisateur réel, ou votre équipe de sécurité, ne réalise un problème.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
Risque accru selon l'étendue de l'accès utilisateur.
Risque plus élevé quand
Le risque de liens d'activation de longue durée est considérablement aggravé par l'absence d'application automatique de l'authentification multifacteur (MFA) pour les connexions initiales, qui permet à un assaillant qui intercepte le lien d'obtenir un accès complet avec un seul facteur.
De plus, l'absence de Plages IP de connexion ou de restrictions réseau de confiance pour les nouveaux utilisateurs crée une surface d'attaque plus large, car il n'existe aucune barrière géographique ou réseau empêchant un acteur de menace distant d'utiliser le lien d'activation à partir d'un emplacement non autorisé.
Risque faible ou nul
Pour réduire au minimum le risque de liens d'activation de longue durée, les organisations doivent imposer l'authentification multifacteur (MFA) à tous les nouveaux utilisateurs, en veillant à ce qu'un lien intercepté seul ne suffise pas pour obtenir l'accès sans un deuxième facteur de vérification.
De plus, l'implémentation de Plages IP de connexion au niveau du profil ou de l'organisation limite le processus d'activation aux réseaux d'entreprise de confiance, empêchant ainsi les acteurs de menaces distants d'utiliser des liens volés à partir d'emplacements non autorisés.
Considérations relatives à l'entreprise et à l'intégration
L'administrateur doit prendre en compte le nombre d'utilisateurs et l'environnement des utilisateurs de sa société qui accèdent à la plate-forme.
Remédiation recommandée
Définissez l'expiration du lien pour l'e-mail d'activation de l'utilisateur.
Guide d'examen sanitaire de sécurité
L'examen de l'intégrité de sécurité confirme que le paramètre Expiration de l'e-mail de bienvenue de l'utilisateur est défini sur 1 jour.
