Ti trovi qui:
Identità cliente Salesforce: Controllo accesso senza password
Questo controllo consente a un'organizzazione di sostituire la schermata di verifica Salesforce generica con una pagina con immagine aziendale personalizzata che gestisce l'accesso senza password.
Nome controllo
Accesso senza password
Configurazione consigliata
Abilitare l'accesso alla pagina di verifica dell'identità personalizzata.
Panoramica sul controllo
Questo controllo consente a un'organizzazione di sostituire la schermata di verifica Salesforce generica con una pagina con immagine aziendale personalizzata che gestisce l'accesso senza password. L'autenticazione senza password consente agli utenti di accedere utilizzando un codice di accesso OTP (One-Time Passcode) inviato tramite email o SMS o tramite un link verificabile basato sull'individuazione anziché una password statica tradizionale. È anche possibile configurare le app di autenticazione TOTP e le chiavi di protezione (passkey).
Rischio per la sicurezza se non configurato
Quando non sono abilitati o configurati correttamente, gli utenti sono costretti a seguire flussi standard senza immagine aziendale che sono più facili da imitare per gli aggressori nelle campagne di phishing, rendendo gli utenti incapaci di distinguere il processo di accesso reale da uno falso.
Scenari di minaccia
Un aggressore avvia un sito di raccolta credenziali che ha esattamente l'aspetto dell'accesso Salesforce predefinito. Poiché l'azienda non ha stabilito uno standard visivo "Custom Identity", gli utenti immettono le proprie OTP sensibili nel sito dell'autore dell'attacco senza sospetti.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
L'impossibilità di offrire un'esperienza di verifica coerente con l'immagine aziendale aumenta la percentuale di successo degli attacchi di social engineering, potenzialmente compromettendo migliaia di account cliente ed erodendo Trust nel portale digitale.
Rischio maggiore quando
Il rischio è più elevato per i portali consumer a traffico elevato, dove gli utenti sono meno esperti tecnicamente e hanno maggiori probabilità di cadere in schermate di accesso "look-alike" che non hanno gli indicatori di sicurezza specifici della società.
Basso rischio quando
Ove possibile, le organizzazioni utilizzano la chiave di protezione U2F fisica nelle impostazioni di verifica dell'identità per sostituire i codici SMS/email vulnerabili. Questi sono più difficili da phishing per gli aggressori.
Considerazioni su Business e integrazione
L'implementazione di una pagina di verifica personalizzata richiede lo sviluppo front-end (Visualforce o Lightning) e test coordinati per garantire che il codice di verifica o il link venga fornito in modo affidabile tra diversi operatori mobili e provider di email.
Rimedio consigliato
Passare ad Accesso e registrazione nelle impostazioni di amministrazione del sito, selezionare Accesso senza password e specificare la pagina personalizzata nel campo Verifica dell'identità.
Guida all'esame dello stato della sicurezza
Security Health Review identifica le pagine di verifica personalizzate come "Visual Trust Anchor" e richiede che l'esperienza di sicurezza sia indistinguibile dall'esperienza dell'immagine aziendale per aiutare gli utenti a identificare istintivamente i tentativi di accesso fraudolenti.
