Търсите ли най-сигурния начин да приложите Salesforce MFA с помощта на QR кодове? Неуспешното осигуряване на процеса на записване може да изложи вашата организация на quishing атаки и кражба на идентификационни данни. Това ръководство обяснява как да конфигурирате базирано на QR удостоверяване и да следвате индустриалните стандарти за сигурност, за да защитите данните си.
Как QR кодовете улесняват Salesforce MFA
Salesforce използва протоколи за еднократна парола, базирана на време (TOTP), за да захранва своето многофакторно удостоверяване (MFA). Мислете за QR кода като цифрово ръкостискане между вашата Salesforce инстанция и доверено устройство. Когато потребител за първи път регистрира приложение за удостоверяване, Salesforce генерира уникален QR код, който съдържа споделен таен ключ. Чрез сканиране на този код, мобилното устройство установява сигурна връзка за генериране на 6-цифрени кодове за потвърждение на всеки 30 секунди.
Прилагането на този поток ефективно намалява риска от автоматизирани поемания на акаунти с 99,9%, според изследване на Microsoft. Въпреки това, сигурността на този метод силно зависи от чиста фаза на записване. Администраторите трябва да гарантират, че потребителите сканират само кодове, генерирани в официалния домейн `login.salesforce.com`. Използването на криптирани QR кодове за платформи за удостоверяване се превръща в стандарт за корпоративна сигурност, тъй като гарантира, че само оторизирани потребители с правилния ключ за декриптиране могат да имат достъп до чувствителни данни за записване.
Управление на рисковете за сигурност в потока на записване
Въпреки че QR кодовете предлагат удобство, те са податливи на специализирани заплахи. “Слабото записване на MFA е най-големият провал при внедряването”, отбеляза CISO на Okta през 2025 г. За да поддържате стабилна защита, трябва да разберете как нападателите експлоатират процеса на записване.
Чести заплахи за QR удостоверяването
- Quishing (QR фишинг): Нападателите използват фалшиви страници за вход, за да подмамят потребителите да сканират злонамерен QR код, който регистрира устройството на нападателя вместо това на потребителя.
- Злонамерени наслагвания: Във физически среди, измамни стикери се поставят върху легитимни QR кодове, за да пренасочат потребителите към фалшиви сайтове.
- Компрометиране на устройство: Ако зловреден софтуер зарази мобилно устройство, той потенциално може да извлече тайния ключ на TOTP директно от приложението за удостоверяване.
- Прихващане (MitM): Прокси атаките могат да прихванат комуникацията между браузъра и приложението за удостоверяване по време на първоначалната настройка.
За да смекчите тези рискове, следвайте най-добрите практики за сигурност на QR кодовете в киберзащитата като проверявате източника на всеки код. Salesforce също така предлага използването на устойчиви на фишинг MFA методи, когато е възможно, като например FIDO2 ключове за сигурност, или прилагане на съвпадение на числа в push известия, за да се гарантира, че потребителят е физически наличен по време на опита за вход.
Най-добри практики за администраторско внедряване
Успешното внедряване на MFA изисква баланс между стриктно прилагане на политиките и цялостна потребителска поддръжка. Според доклада на Verizon DBIR за 2024 г., 61% от атаките заобикалят слаба или неправилно конфигурирана MFA, което прави избора на конфигурация критичен. Използвайте тези стратегии, за да заздравите вашата Salesforce среда:
- Задължителна MFA за всички потребители: Прилагайте изискванията за MFA чрез секцията “Проверка на самоличността” в Setup, като започнете със системните администратори, преди поетапно внедряване в по-широката организация.
- Осигурете множество методи за архивиране: Уверете се, че потребителите регистрират вторични фактори, като кодове за архивиране или вторични ключове за сигурност, за да предотвратите заключване при загуба на устройства.
- Проверявайте регистрационните дневници: Редовно преглеждайте одиторските дневници на Salesforce, за да идентифицирате географски аномалии или подозрителни модели на регистрация, които се отклоняват от нормалното потребителско поведение.
- Налагайте удостоверители, обвързани с устройство: Използвайте Mobile Device Management (MDM) software to ensure that authenticator apps are only installed on company-approved and secured devices.
- Редовно сменяйте тайните: Ако подозирате компрометиране, използвайте разрешението “Управление на MFA”, за да нулирате потребителските тайни и да наложите нова QR регистрация.
| Функция | Статичен QR код | Динамичен QR код |
|---|---|---|
| Редактируемост | Данните са постоянни веднъж създадени | Съдържанието може да бъде актуализирано по всяко време |
| Проследяване | Няма налични анализи на сканиранията | Предоставя данни от сканиране в реално време |
| Сигурност | Основно съхранение на информация | Включва парола и контроли за достъп |
| Триене | По-плътните модели може да не успеят да бъдат сканирани | Кратките URL адреси създават по-чисти, по-бързи кодове |
Трябва ли да управлявате сигурни QR кодове за вашата организация? Разгледайте нашия генератор на динамични QR кодове за да създадете редактируеми, проследими и защитени с парола QR кодове за вашата вътрешна документация и техническо въвеждане.
Подобряване на четливостта и производителността на QR кодовете
Често срещано препятствие за ИТ специалистите е заявката за поддръжка за “неуспешно сканиране”, което според Forrester причинява 23% от блокиранията на MFA. Лошата разделителна способност на екрана, неподходящият контраст или отблясъците могат да попречат на мобилна камера да прочете кода за записване. За да намалите тези точки на триене, следвайте най-добрите практики за четливост на QR кодовете като поддържате поне съотношение на контраст 4:1.
Уверете се, че “тихата зона”, която е бялата рамка около кода, остава безпрепятствена от други елементи на потребителския интерфейс. Когато създавате документация за вашия екип, стремете се към минимален размер от 0.8 x 0.8 инча, за да осигурите съвместимост с по-стари камери на смартфони. Като следвате най-добри практики за генериране на сигурен QR код, можете да гарантирате, че кодовете остават ясни и сканируеми дори когато са отпечатани в наръчници за обучение.
Обучение на потребители и подготовка на отдела за помощ
Човешката грешка остава значителна уязвимост в стека за сигурност. Отвъд техническата настройка, администраторите трябва да подготвят потребителите да разпознават заплахите и да управляват собственото си възстановяване. Предоставянето на потребителите с QR кодове за софтуер ръководства за въвеждане може да ускори приемането и да намали натоварването на отдела за помощ.
- Проверете домейна: Обучете потребителите да търсят иконата на катинар и официалния URL адрес на Salesforce, преди да сканират какъвто и да е регистрационен код.
- Докладвайте аномалии: Инструктирайте потребителите да отказват и докладват всякакви MFA push известия, които получават, когато не се опитват активно да влязат.
- Документирайте потока: Използвайте статични срещу динамични QR кодове във вашите обучителни материали, за да предоставите на потребителите актуални видео уроци, които не изискват препечатване при промяна на потребителския интерфейс.
- Стандартизирайте възстановяването: Създайте скриптове за вашия отдел за помощ, за да проверявате самоличността, преди да “изключите” изгубено устройство в Salesforce, което позволява на потребителя да сканира нов код за записване.
ЧЗВ
Отидете до страницата с подробности за потребителя в Salesforce Setup и щракнете върху “Изключване” до регистрацията на приложението. Това действие обезсилва стария таен ключ и гарантира, че изгубеното устройство вече не може да се използва за удостоверяване. Следващия път, когато потребителят влезе, Salesforce ще го подкани да сканира нов QR код, за да регистрира своето заместващо устройство.
No, users should not use a general-purpose QR code scanner to register for MFA. They must use a dedicated TOTP authenticator app, such as Salesforce Authenticator, Google Authenticator, or Microsoft Authenticator. These apps are designed to securely process the secret key and generate the time-sensitive codes required for login.
QR кодовете за записване са временни от съображения за сигурност. Ако потребител изчака твърде дълго, за да сканира кода, сесията изтича, за да се предотврати прихващането на тайния ключ от неоторизирана страна. Ако кодът изтече, потребителят просто трябва да опресни страницата си за вход, за да генерира нов, валиден код за регистрация.
