위치:
Salesforce 고객 ID: 무암호 로그인
이 제어를 사용하면 조직이 일반 Salesforce 확인 화면을 무암호 로그인을 처리하는 사용자 정의 브랜딩 페이지로 바꿀 수 있습니다.
제어 이름
무암호 로그인
권장 구성
사용자 정의 ID 확인 페이지에 대한 액세스를 활성화합니다.
제어 개요
이 제어를 사용하면 조직이 일반 Salesforce 확인 화면을 무암호 로그인을 처리하는 사용자 정의 브랜딩 페이지로 바꿀 수 있습니다. 무암호 인증을 사용하면 사용자가 기존의 정적 암호가 아닌 이메일 또는 SMS 또는 확인 가능한 검색 기반 링크를 통해 전송된 일회용 암호(OTP)를 사용하여 로그인할 수 있습니다. TOTP Authenticator 앱 및 보안 키(암호 키)도 구성할 수 있습니다.
구성되지 않은 경우 보안 위험
활성화되지 않거나 올바르게 구성되지 않으면 사용자가 피싱 캠페인에서 공격자가 가장 쉽게 모방할 수 있는 표준 비브랜딩 플로를 통해 강제 적용되므로 사용자가 실제 로그인 프로세스를 가짜 프로세스와 구분할 수 없습니다.
위협 시나리오
공격자가 기본 Salesforce 로그인과 정확하게 비슷한 자격 증명 수집 사이트를 시작합니다. 회사에서 "사용자 정의 ID" 시각적 표준을 설정하지 않았으므로 사용자는 의심하지 않고 공격자의 사이트에 민감한 OTP를 입력합니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
일관되고 브랜드화된 확인 환경을 제공하지 못하면 소셜 엔지니어링 공격의 성공률이 증가하고 잠재적으로 수천 개의 고객 계정이 손상되고 디지털 포털의 Trust 손상됩니다.
위험이 높은 경우
트래픽이 많은 소비자 포털의 경우 사용자의 기술적 지식이 떨어지고 회사의 특정 보안 마커가 없는 "유사한" 로그인 화면에 빠질 가능성이 높습니다.
낮은 위험 시기
조직은 ID 확인 설정에서 물리적 U2F 보안 키를 사용하여 가능한 경우 취약한 SMS/이메일 코드를 교체합니다. 이러한 경우 공격자가 피시하기가 더 어려워집니다.
비즈니스 및 통합 고려 사항
맞춤형 확인 페이지를 구현하려면 프런트엔드 개발(Visualforce 또는 Lightning) 및 조율된 테스트가 필요하므로 다양한 모바일 통신사 및 이메일 공급업체 간에 확인 코드 또는 링크가 신뢰할 수 있게 전달됩니다.
권장 수정
사이트의 관리 설정에서 로그인 및 등록으로 이동하고 무암호 로그인을 선택한 후 ID 확인 필드에서 사용자 정의 페이지를 지정합니다.
보안 상태 검토 지침
Security Health Review는 사용자 지정 확인 페이지를 "Visual Trust Anchor"로 식별하므로 보안 환경이 브랜드 환경과 구별할 수 없어야만 사용자가 사기성 로그인 시도를 본능적으로 식별할 수 있습니다.
