Вы находитесь здесь:
Salesforce Customer Identity: Вход без пароля
Этот элемент управления позволяет организации заменить общий экран проверки Salesforce настраиваемой фирменной страницей, обрабатывающей вход без пароля.
Управление именем
Вход без пароля
Рекомендованная конфигурация
Включите доступ к странице проверки подлинности пользователя.
Общие сведения о контроле
Этот элемент управления позволяет организации заменить общий экран проверки Salesforce настраиваемой фирменной страницей, обрабатывающей вход без пароля. Проверка подлинности без пароля позволяет пользователям входить посредством одноразового пароля (OTP), отправленного по электронной почте или SMS-сообщению, либо посредством проверяемой ссылки на основе обнаружения, а не традиционного статического пароля. Можно также настроить приложения средства проверки подлинности TOTP и ключи безопасности (Passkeys).
Риск безопасности, если он не настроен
Если данный параметр не включен или настроен надлежащим образом, пользователи вынуждены проходить стандартные нефирменные потоки, которые легче имитировать злоумышленникам в фишинговых кампаниях, что приводит к невозможности отличить реальный процесс входа от поддельного.
Сценарии угроз
Злоумышленник запускает сайт сбора регистрационных данных, который выглядит точно так же, как вход Salesforce по умолчанию. Поскольку компания не установила визуальный стандарт «Настраиваемое удостоверение», пользователи вводят свои конфиденциальные ОТП на сайт злоумышленника без подозрений.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Неспособность предоставить последовательное фирменное взаимодействие проверки повышает уровень успеха атак социальной инженерии, потенциально компрометируя тысячи организаций-клиентов и подрывая Trust к вашему цифровому порталу.
Повышенный риск при
Риск выше для потребительских порталов с высокой посещаемостью, где пользователи менее технически подкованы и чаще попадаются на «похожие» экраны входа, на которых отсутствуют определенные маркеры безопасности вашей компании.
Низкий риск при
Организации используют физический ключ безопасности U2F в параметрах проверки подлинности для замены уязвимых кодов SMS/эл. почты, где возможно. Таких злоумышленникам сложнее фишировать.
Рекомендации по бизнесу и интеграции
Внедрение настраиваемой страницы проверки требует фронтальной разработки (Visualforce или Lightning) и скоординированного тестирования для обеспечения надежной доставки кода проверки или ссылки разным мобильным операторам и поставщикам электронной почты.
Рекомендованное исправление
Перейдите в «Вход и регистрация» в параметрах «Администрирование» сайта, выберите «Вход без пароля» и укажите настраиваемую страницу в поле «Проверка подлинности».
Руководство по проверке состояния безопасности
Security Health Review определяет настраиваемые страницы проверки как "Visual Trust Anchor", предписывая, что взаимодействие безопасности должно быть неотличимо от взаимодействия с фирменным стилем, чтобы помочь пользователям инстинктивно идентифицировать мошеннические попытки входа.
