Olet tässä:
Salesforce Customer Identity: Salasanattoman sisäänkirjautumisen hallinta
Tämä asetus sallii organisaation korvata yleisen Salesforce-vahvistusruudun mukautetulla brändätyllä sivulla, joka käsittelee salasanattoman sisäänkirjautumisen.
Ohjaimen nimi
Salasanaton sisäänkirjautuminen
Suositeltu kokoonpano
Ota käyttöön mukautetun henkilöllisyydenvahvistussivusi käyttöoikeus.
Ohjauksen yleiskatsaus
Tämä asetus sallii organisaation korvata yleisen Salesforce-vahvistusruudun mukautetulla brändätyllä sivulla, joka käsittelee salasanattoman sisäänkirjautumisen. Salasanattoman todennuksen avulla käyttäjät voivat kirjautua sisään käyttämällä kertakäyttöistä pääsykoodia (OTP), joka lähetetään sähköpostitse tai SMS-tekstiviestitse tai vahvistettavan havaintoihin perustuvan linkin kautta, eikä perinteistä staattista salasanaa. Myös TOTP Authenticator -sovelluksia ja suojausavaimia (väyläavaimia) voidaan määrittää.
Tietoturvariski, jos ei määritetty
Kun se ei ole käytössä tai määritetty oikein, käyttäjät joutuvat käyttämään vakiomuotoisia, brändättömiä kulkuja, joita hyökkääjät voivat helpommin jäljittää tietojen kalastuskampanjoissa, jolloin käyttäjät eivät voi erottaa todellista sisäänkirjautumisprosessia väärästä.
Uhkien skenaariot
Hyökkääjä käynnistää tunnusten keräyssivuston, joka muistuttaa Salesforcen oletusarvoista sisäänkirjautumista. Koska yhtiö ei ole luonut visuaalista standardia "Mukautettu henkilöllisyys", käyttäjät syöttävät luottamukselliset OTP-tietonsa hyökkääjän sivustolle epäilemättä.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
Jos et tarjoa yhdenmukaista ja brändättyä vahvistuskokemusta, sosiaalisen suunnittelun hyökkäysten onnistumissuhde kasvaa, mikä saattaa vaarantaa tuhansia asiakastilejä ja heikentää digitaalisen portaalisi Trustia.
Korkeampi riski, kun
Riski on suurempi liikkuvilla kuluttajaportaaleilla, joissa käyttäjät ovat vähemmän teknisiä ja todennäköisemmin ”tyyppisiä” sisäänkirjautumisruutuja, joilla ei ole yrityksesi erityisiä suojausmerkintöjä.
Matalan riskin milloin
Organisaatiot käyttävät henkilöllisyydenvahvistuksen asetuksissa fyysistä U2F-suojausavainta korvatakseen haavoittuvat SMS-/sähköpostikoodit aina, kun se on mahdollista. Nämä ovat vaikeampia hyökkääjille tietojen kalastamiseksi.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Mukautetun vahvistussivun toteuttaminen vaatii edistyneen kehityksen (Visualforce tai Lightning) ja koordinoidun testauksen varmistaakseen, että vahvistuskoodi tai linkki toimitetaan luotettavasti eri mobiili- ja sähköpostipalveluiden välillä.
Suositeltu korjaus
Avaa sivuston Hallinta-asetuksista Kirjautuminen ja rekisteröinti, valitse Salasanaton sisäänkirjautuminen ja määritä mukautettu sivusi Henkilöllisyydenvahvistus-kenttään.
Tietoturvan terveystarkastuksen ohjeet
Suojauksen terveystarkastus tunnistaa mukautetut vahvistussivut "visuaaliseksi Trust ankkuriksi", mikä vaatii, että suojauskokemuksen tulisi olla erottamaton brändikokemuksesta auttaakseen käyttäjiä tunnistamaan petolliset sisäänkirjautumisyritykset instinktiivisesti.
