breadcrumbDescription
Salesforce Customer Identity: (Salesforce-kundeidentitet): Login uden adgangskode
Denne kontrol giver en organisation mulighed for at erstatte den generiske Salesforce-bekræftelsesskærm med en tilpasset-brandet side, der håndterer login uden adgangskode.
Kontrolnavn
Login uden adgangskode
Anbefalet konfiguration
Aktiver adgang til bekræftelsessiden Din tilpassede identitet.
Kontroller oversigt
Denne kontrol giver en organisation mulighed for at erstatte den generiske Salesforce-bekræftelsesskærm med en tilpasset-brandet side, der håndterer login uden adgangskode. Godkendelse uden adgangskode giver brugere mulighed for at logge ind ved brug af en engangsadgangskode (OTP), der sendes via mail eller sms, eller via et bekræfteligt Discovery-baseret link i stedet for en traditionel statisk adgangskode. TOTP Authenticator-apps og sikkerhedsnøgler (adgangskoder) kan også konfigureres.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Når det ikke er aktiveret eller korrekt konfigureret, tvinges brugere gennem standard, ikke-brandet forløb, der er nemmere for angribere at efterligne i phishing-kampagner, hvilket fører til, at brugere ikke kan skelne din virkelige loginproces fra en falsk.
Trusselscenarier
En angriber starter en legitimationsopsamlingslokalitet, der ligner præcis Salesforce-standardlogin. Da firmaet ikke har etableret en "Tilpasset identitet"-visuel standard, indtaster brugerne deres følsomme OTP'er på angriberens lokalitet uden mistanke.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Hvis du ikke kan levere en ensartet, brandet bekræftelsesoplevelse, øges succesfrekvensen for social engineering-angreb, hvilket potentielt kan kompromittere tusindvis af kundekonti og nedbryde Trust i din digitale portal.
Højere risiko når
Risikoen er højere for forbrugsportaler med høj trafik, hvor brugere er mindre teknisk dygtige og med større sandsynlighed falder for "ligner ud" loginskærme, der mangler dit firmas specifikke sikkerhedsmærker.
Lav risiko når
Organisationer bruger fysisk U2F-sikkerhedsnøgle i identitetsbekræftelsesindstillinger til at erstatte sårbare SMS/mailkoder, hvor det er muligt. Disse er vanskeligere for angribere at phishere.
Overvejelser i forbindelse med forretning og integration
Implementering af en tilpasset bekræftelsesside kræver frontend-udvikling (Visualforce eller Lightning) og koordineret test for at sikre, at bekræftelseskoden eller linket leveres pålideligt på tværs af forskellige mobilselskaber og mailudbydere.
Anbefalet rettelse
Naviger til Login og registrering i din lokalitets administrationsindstillinger, vælg Login uden adgangskode, og angiv din tilpassede side i feltet Identitetsbekræftelse.
Vejledning til sikkerhedstilstandsgennemgang
Security Health Review identificerer tilpassede bekræftelsessider som et "Visual Trust Anchor", hvilket kræver, at sikkerhedsoplevelsen ikke kan skelnes fra brandoplevelsen for at hjælpe brugerne med instinktivt at identificere bedrageriske loginforsøg.
