Du er her:
Salesforce Customer Identity (Salesforce-kundeidentitet): PĂ„logging uten passord
Denne kontrollen lar en organisasjon erstatte den generelle Salesforce-bekreftelsesskjermen med en tilpasset merkeprofileringsside som hÄndterer pÄlogging uten passord.
Navn pÄ kontroll
PĂ„logging uten passord
Anbefalt konfigurasjon
Aktiver tilgang til bekreftelsessiden Din tilpassede identitet.
Oversikt over kontroll
Denne kontrollen lar en organisasjon erstatte den generelle Salesforce-bekreftelsesskjermen med en tilpasset merkeprofileringsside som hÄndterer pÄlogging uten passord. Med passordlÞs godkjenning kan brukere logge seg pÄ med en engangspassord (OTP) sendt via e-post eller SMS, eller via en verifiserbar oppdagelsesbasert lenke, i stedet for et tradisjonelt statisk passord. TOTP Authenticator-apper og sikkerhetsnÞkler (passnÞkler) kan ogsÄ konfigureres.
Sikkerhetsrisiko hvis ikke konfigurert
NÄr det ikke er aktivert eller riktig konfigurert, tvinges brukere gjennom standard, ikke-merkeprofilerte flyter som er enklere for angripere Ä etterligne i phishing-kampanjer, noe som fÞrer til at brukere ikke kan skille den virkelige pÄloggingsprosessen fra en falsk.
Trusselscenarier
En angriper starter et legitimasjonssamlingsnettsted som ser nÞyaktig ut som standard Salesforce-pÄlogging. Fordi firmaet ikke har etablert en "Tilpasset identitet"-visuell standard, skriver brukere inn sine sensitive OTP-er pÄ angriperens nettsted uten mistanke.
Beregnet CVSS Score-omrÄde
Kritisk (9.0â10.0).
Viktige punkter om risikoinnvirkning
Mangelen pÄ Ä levere en konsistent, merkeprofilert verifiseringsopplevelse Þker suksessfrekvensen for sosiale ingeniÞrangrep, som potensielt kan kompromittere tusenvis av kundekontoer og Þdelegge Trust i din digitale portal.
HÞyere risiko nÄr
Risikoen er hÞyere for forbrukerportaler med stor trafikk, der brukere er mindre teknisk kunnskapsrike og mer sannsynlig vil falle for "likelignende" pÄloggingsskjermer som mangler firmaets spesifikke sikkerhetsmarkÞrer.
Lav risiko nÄr
Organisasjoner bruker fysisk U2F-sikkerhetsnÞkkel i identitetsbekreftelsesinnstillinger til Ä erstatte sÄrbare SMS- og e-postkoder der det er mulig. Disse er vanskeligere for angripere Ä phishere.
Viktige punkter om virksomheten og integrasjonen
Implementering av en tilpasset bekreftelsesside krever frontendutvikling (Visualforce eller Lightning) og koordinert testing for Ä sikre at bekreftelseskoden eller -lenken leveres pÄlitelig pÄ tvers av ulike mobiloperatÞrer og e-postleverandÞrer.
Anbefalt rettelse
GĂ„ til PĂ„logging og registrering i nettstedets administrasjonsinnstillinger, velg PĂ„logging uten passord og angi den tilpassede siden i Identitetsbekreftelse-feltet.
Veiledning for vurdering av sikkerhetstilstand
Sikkerhetstilstandsvurdering identifiserer tilpassede bekreftelsessider som en "visuell Trust Anchor", og krever at sikkerhetsopplevelsen ikke skiller seg fra merkeprofilopplevelsen for Ä hjelpe brukerne med Ä identifisere falske pÄloggingsforsÞk.
