Você está aqui:
Configurações de email de boas-vindas do novo usuário
A configuração "Expiration of Link" do Salesforce para emails de boas-vindas é um controle de segurança que define o período pelo qual o link de ativação de um novo usuário permanece ativo.
Nome do controle
Ativação de novo usuário
Configuração recomendada
- Expiração da configuração de email de boas-vindas do novo usuário definida como 1 dia
Configuração>Configurações de sessão>Configurações de email de boas-vindas do novo usuário>Link Expira em 1 dia.
Visão geral de controle
A configuração "Expiration of Link" do Salesforce para emails de boas-vindas é um controle de segurança que define o período pelo qual o link de ativação de um novo usuário permanece ativo. Ao restringir essa janela, os administradores garantem que links não utilizados ou interceptados sejam tornados inúteis após um breve período, minimizando o risco de acesso não autorizado à conta por meio de credenciais obsoletas.
Risco de segurança, se não configurado
Sem um limite rígido sobre a expiração de emails de ativação do usuário, a organização enfrenta um risco maior de tomada de conta não autorizada se um link "bem-vindo" for interceptado ou acessado em uma Inbox de email comprometida muito depois que ele foi enviado. Essa janela estendida de oportunidade permite que os agentes de ameaças ativem a conta e definam suas próprias credenciais, ignorando a janela de segurança desejada e possivelmente obtendo entrada não detectada no ambiente do Salesforce.
Cenários de ameaça
Um ator de ameaça obtém acesso à Inbox de um usuário e encontra um link de ativação não expirado enviado dias ou semanas antes devido à falta de limites de expiração rigorosos. Eles usam com sucesso o link para definir suas próprias credenciais e sequestrar a conta, obtendo uma base legítima em seu ambiente do Salesforce antes que o usuário real, ou sua equipe de segurança, perceba que há um problema.
Intervalo de pontuação de CVSS estimado
Crítico (9.0 a 10.0).
Considerações sobre impacto de risco
Maior risco dependendo do escopo de acesso do usuário.
Risco maior quando
O risco de links de ativação de longa duração é significativamente agravado pela falta de imposição de autenticação multifator (MFA) para logins iniciais, o que permite que um invasor que intercepta o link obtenha acesso total com apenas um único fator.
Além disso, a ausência de Intervalos de IP de login ou restrições de rede confiáveis para novos usuários cria uma superfície de ataque mais ampla, pois não há barreiras geográficas ou baseadas em rede para impedir que um ator de ameaça remoto use o link de ativação de um local não autorizado.
Baixo ou Sem risco quando
Para minimizar o risco de links de ativação de longa duração, as organizações devem impor a autenticação multifator (MFA) para todos os novos usuários, garantindo que um link interceptado sozinho seja insuficiente para obter acesso sem um segundo fator de verificação.
Além disso, implementar Intervalos de IP de login no nível de perfil ou organização restringe o processo de ativação a redes corporativas confiáveis, impedindo de modo eficaz a atores de ameaça remotos de usar links roubados de locais não autorizados.
Considerações de negócios e integração
O administrador deve considerar o número de usuários e o ambiente dos usuários em sua empresa que acessam a plataforma.
Remediação recomendada
Defina a expiração do link para o email de ativação do usuário.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança confirma que a configuração de Expiração de email de boas-vindas do novo usuário está definida como 1 dia.
