Usted está aquí:
Identidad de cliente de Salesforce: Control de inicio de sesión sin contraseña
Este control permite a una organización sustituir la pantalla de verificación genérica de Salesforce por una página con marca personalizada que gestiona el inicio de sesión sin contraseña.
Nombre de control
Inicio de sesión sin contraseña
Configuración recomendada
Active el acceso a la página de verificación Su identidad personalizada.
Descripción general de control
Este control permite a una organización sustituir la pantalla de verificación genérica de Salesforce por una página con marca personalizada que gestiona el inicio de sesión sin contraseña. Autenticación sin contraseña permite a los usuarios iniciar sesión utilizando una contraseña simultánea (OTP) enviada por correo electrónico o SMS, o a través de un vínculo basado en descubrimiento verificable, en vez de una contraseña estática tradicional. También se pueden configurar aplicaciones de autenticación TOTP y llaves de seguridad (Passkeys).
Riesgo de seguridad si no está configurado
Cuando no están activados o configurados correctamente, los usuarios se ven obligados a través de flujos estándar sin marca que son más fáciles de imitar para los atacantes en campañas de phishing, lo que lleva a que los usuarios no puedan distinguir su proceso de inicio de sesión real de uno falso.
Escenarios de amenazas
Un atacante inicia un sitio de recolección de credenciales que tiene exactamente el mismo aspecto que el inicio de sesión predeterminado de Salesforce. Debido a que la empresa no estableció un estándar visual "Custom Identity", los usuarios introducen sus OTP confidenciales en el sitio del atacante sin sospechas.
Intervalo de puntuación de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones sobre el impacto del riesgo
El fracaso en proporcionar una experiencia de verificación coherente con marca aumenta el índice de éxito de ataques de ingeniería social, comprometiendo potencialmente miles de cuentas de clientes y erosionando Trust en su portal digital.
Riesgo más alto cuando
El riesgo es mayor para portales de consumidor de alto tráfico donde los usuarios son menos expertos técnicamente y tienen más probabilidades de caer en pantallas de inicio de sesión "parecidas" que carecen de los marcadores de seguridad específicos de su empresa.
Bajo riesgo cuando
Las organizaciones utilizan llaves de seguridad U2F físicas en la configuración de Verificación de identidad para sustituir códigos de SMS/correo electrónico vulnerables donde sea posible. Estos son más difíciles de phishing para los atacantes.
Consideraciones comerciales y de integración
La implementación de una página de verificación personalizada requiere desarrollo front-end (Visualforce o Lightning) y pruebas coordinadas para garantizar que el código o vínculo de verificación se entrega de forma fiable entre diferentes operadores móviles y proveedores de correo electrónico.
Remediación recomendada
Navegue a Inicio de sesión y registro en la configuración de Administración de su sitio, seleccione Inicio de sesión sin contraseña y especifique su página personalizada en el campo Verificación de identidad.
Directrices de revisión del estado de seguridad
Security Health Review identifica las páginas de verificación personalizadas como un "Visual Trust Anchor", que exige que la experiencia de seguridad no se distinga de la experiencia de marca para ayudar los usuarios a identificar instintivamente intentos de inicio de sesión fraudulentos.
