Usted está aquí:
Identidad de cliente de Salesforce: Inicio de sesión sin contraseña
Este control permite a una organización sustituir la pantalla de verificación genérica de Salesforce por una página con marca personalizada que gestiona el inicio de sesión sin contraseña.
Nombre de control
Inicio de sesión sin contraseña
Configuración recomendada
Active el acceso a la página de verificación Su identidad personalizada.
Descripción general de control
Este control permite a una organización sustituir la pantalla de verificación genérica de Salesforce por una página con marca personalizada que gestiona el inicio de sesión sin contraseña. Autenticación sin contraseña permite a los usuarios iniciar sesión utilizando una contraseña simultánea (OTP) enviada por email o SMS, o a través de un vínculo basado en descubrimiento verificable, en vez de una contraseña estática tradicional. También se pueden configurar aplicaciones de autenticación TOTP y llaves de seguridad (Passkeys).
Riesgo de seguridad si no está configurado
Cuando no están activados o configurados correctamente, los usuarios se ven forzados a través de flujos estándar sin marca que son más fáciles de imitar para los atacantes en campañas de phishing, lo que lleva a que los usuarios no puedan distinguir su proceso de inicio de sesión real de uno falso.
Escenarios de amenazas
Un atacante inicia un sitio de recolección de credenciales con un aspecto exacto al inicio de sesión predeterminado de Salesforce. Como la compañía no estableció un estándar visual de "Identidad personalizada", los usuarios ingresan sus OTP confidenciales en el sitio del atacante sin sospechas.
Intervalo de puntuaje de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones de impacto de riesgo
El fracaso en proporcionar una experiencia de verificación coherente con marca aumenta el índice de éxito de ataques de ingeniería social, comprometiendo potencialmente miles de cuentas de clientes y erosionando Trust en su portal digital.
Mayor riesgo cuando
El riesgo es mayor para portales de consumidor de alto tráfico donde los usuarios son menos expertos técnicamente y tienen más probabilidades de caer en pantallas de inicio de sesión "parecidas" que carecen de marcadores de seguridad específicos de su compañía.
Bajo riesgo cuando
Las organizaciones utilizan llaves de seguridad U2F físicas en la configuración de Verificación de identidad para sustituir códigos de SMS/email vulnerables donde sea posible. Estos son más difíciles de phishing para los atacantes.
Consideraciones de negocio e integración
La implementación de una página de verificación personalizada requiere desarrollo front-end (Visualforce o Lightning) y pruebas coordinadas para garantizar que el código o vínculo de verificación se entrega de forma fiable entre diferentes operadores móviles y proveedores de email.
Remediación recomendada
Navegue a Inicio de sesión y registro en la configuración de Administración de su sitio, seleccione Inicio de sesión sin contraseña y especifique su página personalizada en el campo Verificación de identidad.
Directrices de revisión del estado de seguridad
Security Health Review identifica las páginas de verificación personalizadas como un "Visual Trust Anchor", lo que exige que la experiencia de seguridad no se distinga de la experiencia de marca para ayudar los usuarios a identificar instintivamente intentos de inicio de sesión fraudulentos.
