Ti trovi qui:
Controllo impostazioni email di benvenuto nuovo utente
L'impostazione "Scadenza link" di Salesforce per le email di benvenuto è un controllo di sicurezza che definisce l'intervallo di tempo per il quale il link di attivazione di un nuovo utente rimane attivo.
Nome controllo
Attivazione nuovo utente
Configurazione consigliata
- Impostazione Email di benvenuto nuovo utente Scadenza impostata su 1 giorno
Imposta>Impostazioni di sessione>Impostazioni email di benvenuto nuovo utente>Il link scade tra 1 giorno.
Panoramica sul controllo
L'impostazione "Scadenza link" di Salesforce per le email di benvenuto è un controllo di sicurezza che definisce l'intervallo di tempo per il quale il link di attivazione di un nuovo utente rimane attivo. Limitando questa finestra, gli amministratori assicurano che i link inutilizzati o intercettati vengano resi inutilizzabili dopo un breve periodo, riducendo al minimo il rischio di accesso non autorizzato agli account tramite credenziali non aggiornate.
Rischio per la sicurezza se non configurato
Senza un limite rigoroso alla scadenza delle email di attivazione utente, l'organizzazione si trova di fronte a un rischio maggiore di acquisizione non autorizzata di account se un link "benvenuto" viene intercettato o accessibile in una Inbox email compromessa molto tempo dopo l'invio. Questa finestra di opportunità estesa consente agli agenti delle minacce di attivare l'account e impostare le proprie credenziali, ignorando la finestra di sicurezza prevista e potenzialmente ottenendo l'accesso non rilevato all'ambiente Salesforce.
Scenari di minaccia
Un attore delle minacce ottiene l'accesso alla Inbox di un utente e trova un link di attivazione non scaduto inviato giorni o settimane prima a causa della mancanza di limiti di scadenza rigorosi. Utilizzano correttamente il link per impostare le proprie credenziali e dirottare l'account, acquisendo un punto d'appoggio legittimo nell'ambiente Salesforce prima che l'utente effettivo, o il team di sicurezza, si accorga del problema.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
Aumento del rischio a seconda dell'ambito di accesso dell'utente.
Rischio maggiore quando
Il rischio di link di attivazione di lunga durata è significativamente aumentato dalla mancanza di imposizione dell'autenticazione a più fattori (MFA) per gli accessi iniziali, che consente a un aggressore che intercetta il link di ottenere l'accesso completo con un solo fattore.
Inoltre, l'assenza di intervalli IP di accesso o restrizioni di rete affidabili per i nuovi utenti crea una superficie di attacco più ampia, poiché non esistono barriere geografiche o basate sulla rete per impedire a un attore delle minacce remoto di utilizzare il link di attivazione da una posizione non autorizzata.
Rischio basso o nullo quando
Per ridurre al minimo il rischio di link di attivazione di lunga durata, le organizzazioni devono applicare l'autenticazione a più fattori (MFA) a tutti i nuovi utenti, assicurando che un link intercettato da solo non sia sufficiente per ottenere l'accesso senza un secondo fattore di verifica.
Inoltre, l'implementazione degli intervalli IP di accesso a livello di profilo o di organizzazione limita il processo di attivazione alle reti aziendali affidabili, impedendo di fatto agli attori delle minacce remote di utilizzare link rubati da posizioni non autorizzate.
Considerazioni su Business e integrazione
L'amministratore deve considerare il numero di utenti e l'ambiente degli utenti all'interno della società che accede alla piattaforma.
Rimedio consigliato
Definire la scadenza del link per l'email di attivazione utente.
Guida all'esame dello stato della sicurezza
Security Health Review conferma che l'impostazione Scadenza email di benvenuto nuovo utente è impostata su 1 giorno.
