您在此处:
Salesforce 客户身份:无密码登录
此控制允许组织使用处理无密码登录的自定义品牌页面替换通用 Salesforce 验证屏幕。
控件名称
无密码登录
推荐配置
启用对自定义身份验证页面的访问权限。
控制概览
此控制允许组织使用处理无密码登录的自定义品牌页面替换通用 Salesforce 验证屏幕。无密码身份验证允许用户使用通过电子邮件或短信发送的一次性密码 (OTP) 或通过可验证的基于发现的链接登录,而不是传统的静态密码。还可以配置 TOTP Authenticator 应用程序和安全密钥(密钥)。
安全风险(如果未配置)
在未启用或正确配置时,用户会被迫通过标准的无品牌流,这些流更容易被攻击者在网络钓鱼活动中模仿,导致用户无法区分您的真实登录过程和虚假登录过程。
威胁场景
攻击者启动的凭据收集站点与默认 Salesforce 登录完全相同。由于该公司尚未建立“自定义身份”视觉标准,因此用户可以毫无怀疑地将敏感的 OTP 输入到攻击者的站点。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
如果不能提供一致的品牌验证体验,就会提高社交工程攻击的成功率,从而可能危及数以千计的客户账户,并削弱对数字入口网站的Trust。
高风险
对于高流量消费者入口网站,风险更高;在这些入口网站中,用户不太擅长技术,更有可能爱上缺少贵公司特定安全标记的“类似”登录屏幕。
低风险
组织在身份验证设置中使用物理 U2F 安全密钥,以尽可能替换易受攻击的 SMS/电子邮件代码。攻击者更难进行网络钓鱼。
业务和集成注意事项
实施自定义验证页面需要前端开发(Visualforce 或 Lightning)和协调测试,以确保在不同的移动运营商和电子邮件提供商之间可靠地提供验证码或链接。
建议的补救措施
在站点的管理设置中导航到登录和注册,选择无密码登录,并在身份验证字段中指定自定义页面。
安全健康审查指导
安全健康审查将自定义验证页面识别为"Visual Trust 锚 " , 强制要求安全体验应与品牌体验无区别,以帮助用户本能地识别欺诈性登录尝试。
