Vous êtes ici :
Salesforce Customer Identity : Connexion sans mot de passe
Ce contrôle permet à une organisation de remplacer l'écran de vérification générique de Salesforce par une page personnalisée qui gère la connexion sans mot de passe.
Nom du contrôle
Connexion sans mot de passe
Configuration recommandée
Activez l'accès à votre page de vérification de l'identité personnalisée.
Vue d'ensemble du contrôle
Ce contrôle permet à une organisation de remplacer l'écran de vérification générique de Salesforce par une page personnalisée qui gère la connexion sans mot de passe. L'authentification sans mot de passe permet aux utilisateurs de se connecter en utilisant un code secret à usage unique (OTP) envoyé par e-mail ou SMS, ou via un lien vérifiable basé sur la découverte, plutôt qu'un mot de passe statique traditionnel. Des applications TOTP Authenticator et des clés de sécurité (Passkeys) peuvent également être configurées.
Risque de sécurité s'il n'est pas configuré
Lorsqu'ils ne sont pas activés ou correctement configurés, les utilisateurs sont contraints de suivre des flux sans marque standard, plus faciles à imiter pour les assaillants dans les campagnes d'hameçonnage, ce qui les empêche de distinguer votre processus de connexion réel d'un faux processus.
Scénarios de menace
Un assaillant lance un site de collecte d'identifiants qui ressemble exactement à la connexion Salesforce par défaut. Comme la société n'a pas établi de standard visuel « Identité personnalisée », les utilisateurs saisissent leurs mots de passe à usage unique confidentiels dans le site de l'assaillant sans soupçon.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
Le fait de ne pas offrir une expérience de vérification cohérente et de marque augmente le taux de réussite des attaques d'ingénierie sociale, ce qui peut compromettre des milliers de comptes clients et éroder Trust dans votre portail numérique.
Risque plus élevé quand
Le risque est plus élevé pour les portails grand public à fort trafic où les utilisateurs sont moins avertis techniquement et sont plus susceptibles de tomber sur les écrans de connexion « similaires » qui ne contiennent pas les marqueurs de sécurité spécifiques de votre entreprise.
Risque faible quand
Les organisations utilisent une clé de sécurité U2F physique dans les paramètres de vérification de l'identité pour remplacer les codes SMS/e-mail vulnérables si possible. Ceux-ci sont plus difficiles à hameçonner pour les assaillants.
Considérations relatives à l'entreprise et à l'intégration
L'implémentation d'une page de vérification personnalisée nécessite un développement frontal (Visualforce ou Lightning) et des tests coordonnés pour s'assurer que le code ou le lien de vérification est livré de façon fiable entre les différents opérateurs mobiles et fournisseurs de messagerie.
Remédiation recommandée
Accédez à Connexion et inscription dans les paramètres d'administration de votre site, sélectionnez Connexion sans mot de passe, puis spécifiez votre page personnalisée dans le champ Vérification de l'identité.
Guide d'examen sanitaire de sécurité
Security Health Review identifie les pages de vérification personnalisées en tant que « Visual Trust Anchor », imposant que l'expérience de sécurité ne doit pas être distinguée de l'expérience de marque afin d'aider les utilisateurs à identifier instinctivement les tentatives de connexion frauduleuses.
