您位於此處:
Salesforce Customer Identity:無密碼登入
此控制項可讓組織以處理無密碼登入的自訂品牌頁面取代一般 Salesforce 驗證畫面。
控制名稱
無密碼登入
建議組態
啟用「您的自訂身分驗證」頁面的存取權。
控制概觀
此控制項可讓組織以處理無密碼登入的自訂品牌頁面取代一般 Salesforce 驗證畫面。無密碼驗證可讓使用者使用透過電子郵件或 SMS 或可驗證的探索型連結 (而非傳統靜態密碼) 傳送的一次性密碼 (OTP) 登入。TOTP Authenticator 應用程式和安全性金鑰 (複雜密碼) 也可以設定。
未設定安全性風險
未啟用或正確設定時,系統會強制使用者執行標準、無品牌的流程,進而讓攻擊者更容易在網路釣魚行銷活動中模擬,進而導致使用者無法區分您的實際登入流程和虛假的登入流程。
威脅情況
攻擊者會啟動與預設 Salesforce 登入完全相似的認證收集網站。由於該公司尚未建立「自訂身分」視覺標準,因此使用者可將其敏感的 OTP 輸入攻擊者網站,而無須懷疑。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
無法提供一致的品牌驗證體驗,會增加社交工程攻擊的成功率,進而可能破壞數千個客戶帳戶,並破壞數位入口網頁的 Trust。
風險愈高時機
高流量取用者入口網頁的風險較高,其中使用者在技術方面的知識較少,且更有可能遇到缺少貴公司特定安全性標記的「類似」登入畫面。
低度風險時機
組織會在「身分驗證」設定中使用實體 U2F 安全性金鑰,盡可能取代易受攻擊的 SMS/電子郵件代碼。這些功能對攻擊者來說更難進行網路釣魚。
業務與整合考量事項
實作自訂驗證頁面需要前端開發 (Visualforce 或 Lightning) 和協調測試,以確保在不同行動通訊業者和電子郵件提供者之間可靠地傳送驗證代碼或連結。
建議的補救措施
在您網站的「管理」設定中瀏覽至「登入與註冊」,選取「無密碼登入」,然後在「身分驗證」欄位中指定您的自訂頁面。
安全性健康檢閱指南
Security Health Review 會將自訂驗證頁面識別為「視覺 Trust Anchor」,其要求安全性體驗應與品牌體驗不同,以協助使用者本能識別詐欺登入嘗試。
