Você está aqui:
Salesforce Customer Identity: Login sem senha
Esse controle permite que uma organização substitua a tela de verificação genérica do Salesforce por uma página com marca personalizada que lida com o login sem senha.
Nome do controle
Login sem senha
Configuração recomendada
Habilite o acesso à página de verificação de Sua identidade personalizada.
Visão geral de controle
Esse controle permite que uma organização substitua a tela de verificação genérica do Salesforce por uma página com marca personalizada que lida com o login sem senha. A Autenticação sem senha permite que os usuários façam login usando uma senha de uso único (OTP) enviada por email ou SMS, ou por meio de um link baseado em descoberta verificável, em vez de uma senha estática tradicional. Aplicativos TOTP Authenticator e chaves de segurança (paskeys) também podem ser configurados.
Risco de segurança, se não configurado
Quando não são habilitados ou configurados adequadamente, os usuários são forçados por fluxos padrão sem identidade visual que são mais fáceis para os invasores imitarem em campanhas de phishing, o que faz com que os usuários não possam distinguir seu processo de login real de um falso.
Cenários de ameaça
Um invasor inicia um site de coleta de credenciais que se parece exatamente com o login padrão do Salesforce. Como a empresa não estabeleceu um padrão visual de "Identidade personalizada", os usuários inserem suas OTPs confidenciais no site do atacante sem suspeita.
Intervalo de pontuação de CVSS estimado
Crítico (9.0 a 10.0).
Considerações sobre impacto de risco
A falha em fornecer uma experiência de verificação consistente e com marca aumenta a taxa de sucesso de ataques de engenharia social, potencialmente comprometendo milhares de contas de clientes e erodindo a Trust em seu portal digital.
Risco maior quando
O risco é maior para portais de consumidores de alto tráfego em que os usuários são menos versados tecnicamente e têm maior probabilidade de se encaixar em telas de login "semelhantes" que não têm os marcadores de segurança específicos da sua empresa.
Baixo risco quando
As organizações usam a chave de segurança U2F física nas configurações de Verificação de identidade para substituir códigos de email/SMS vulneráveis quando possível. Eles são mais difíceis para os invasores fazerem phish.
Considerações de negócios e integração
A implementação de uma página de verificação personalizada requer desenvolvimento front-end (Visualforce ou Lightning) e testes coordenados para garantir que o código de verificação ou link seja entregue de forma confiável entre diferentes operadoras móveis e provedores de email.
Remediação recomendada
Navegue para Login e registro nas configurações de Administração do seu site, selecione Login sem senha e especifique sua página personalizada no campo Verificação de identidade.
Diretriz de revisão de saúde de segurança
O Security Health Review identifica páginas de verificação personalizadas como uma "Áncora Visual Trust", obrigando que a experiência de segurança seja indistinguível da experiência da marca para ajudar os usuários a identificar instintivamente tentativas fraudulentas de login.
