U bent hier:
Salesforce Customer Identity: Inloggen zonder wachtwoord
Met dit besturingselement kan een organisatie het generieke Salesforce-verificatiescherm vervangen door een aangepaste pagina met "branding" die inloggen zonder wachtwoord afhandelt.
Controlenaam
Inloggen zonder wachtwoord
Aanbevolen configuratie
Schakel toegang tot de verificatiepagina Uw aangepaste identiteit in.
Overzicht van besturingselementen
Met dit besturingselement kan een organisatie het generieke Salesforce-verificatiescherm vervangen door een aangepaste pagina met "branding" die inloggen zonder wachtwoord afhandelt. Met authenticatie zonder wachtwoord kunnen gebruikers inloggen met behulp van een eenmalige toegangscode (OTP) die wordt verzonden via e-mail of sms, of via een verifieerbare op ontdekking gebaseerde koppeling, in plaats van een traditioneel statisch wachtwoord. TOTP Authenticator-apps en beveiligingssleutels (wachtwoorden) kunnen ook worden geconfigureerd.
Beveiligingsrisico indien niet geconfigureerd
Indien niet ingeschakeld of correct geconfigureerd, worden gebruikers door standaardstromen zonder "branding" gedwongen, die voor aanvallers gemakkelijker kunnen worden nagebootst in phishingcampagnes, waardoor gebruikers uw echte inlogproces niet kunnen onderscheiden van een nepproces.
Dreigingsscenario's
Een aanvaller start een site voor het verzamelen van inloggegevens die er precies zo uitziet als de standaard Salesforce-login. Omdat het bedrijf geen visuele standaard "Custom Identity" heeft ingesteld, voeren gebruikers zonder verdenking hun gevoelige OTP's in op de site van de aanvaller.
Geschatte CVSS-scorebereik
Kritiek (9,0–10,0).
Overwegingen bij risico-impact
Als u geen consistente verificatie-ervaring met "branding" biedt, verhoogt u het succespercentage van social engineering-aanvallen, waardoor duizenden klantaccounts in gevaar komen en Trust in uw digitale portal wordt aangetast.
Hoger risico wanneer
Het risico is groter voor consumentenportals met veel verkeer, waar gebruikers technisch minder goed onder de knie zijn en eerder vallen voor "look-alike" inlogschermen die niet zijn voorzien van de specifieke beveiligingsmarkeringen van uw bedrijf.
Laag risico wanneer
Organisaties gebruiken fysieke U2F-beveiligingssleutel in instellingen voor Identiteitsverificatie om kwetsbare sms-/e-mailcodes waar mogelijk te vervangen. Deze zijn moeilijker voor aanvallers om te phishen.
Overwegingen bij bedrijf en integratie
Het implementeren van een aangepaste verificatiepagina vereist front-end ontwikkeling (Visualforce of Lightning) en gecoördineerd testen om ervoor te zorgen dat de verificatiecode of -koppeling betrouwbaar wordt geleverd tussen verschillende mobiele providers en e-mailproviders.
Aanbevolen oplossing
Navigeer naar Inloggen en registratie in de beheerinstellingen van uw site, selecteer Inloggen zonder wachtwoord en geef uw aangepaste pagina op in het veld Identiteitsverificatie.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert aangepaste verificatiepagina's als een "Visual Trust Anchor" (Visueel Trust Anker), hetgeen vereist dat de beveiligingservaring niet te onderscheiden moet zijn van de merkervaring om gebruikers te helpen frauduleuze inlogpogingen instinctief te identificeren.
