Leder du efter den mest sikre måde at implementere Salesforce MFA på ved hjælp af QR-koder? Hvis du ikke sikrer registreringsprocessen, kan din organisation blive udsat for quishing-angreb og tyveri af legitimationsoplysninger. Denne guide forklarer, hvordan du konfigurerer QR-baseret godkendelse og følger branchestandardiserede sikkerhedsprotokoller for at beskytte dine data.
Hvordan QR-koder letter Salesforce MFA
Salesforce bruger Time-based One-Time Password (TOTP) protokoller til at drive sin multi-faktor godkendelse (MFA). Tænk på QR-koden som et digitalt håndtryk mellem din Salesforce-instans og en betroet enhed. Når en bruger først registrerer en godkender-app, genererer Salesforce en unik QR-kode, der indeholder en delt hemmelig nøgle. Ved at scanne denne kode etablerer mobilenheden en sikker forbindelse til at generere 6-cifrede bekræftelseskoder hvert 30. sekund.
Implementering af dette flow reducerer effektivt risikoen for automatiserede kontoovertagelser med 99,9%, ifølge Microsofts forskning. Sikkerheden ved denne metode afhænger dog i høj grad af en ren registreringsfase. Administratorer skal sikre, at brugere kun scanner koder genereret inden for det officielle `login.salesforce.com` domæne. Brug af krypterede QR-koder til godkendelsesplatforme er ved at blive en standard for virksomhedssikkerhed, da det sikrer, at kun autoriserede brugere med den korrekte dekrypteringsnøgle kan få adgang til følsomme registreringsdata.
Håndtering af sikkerhedsrisici i registreringsflowet
Selvom QR-koder tilbyder bekvemmelighed, er de modtagelige for specialiserede trusler. “Svag MFA-registrering er den største implementeringsfejl,” bemærkede Okta CISO i 2025. For at opretholde et robust forsvar skal du forstå, hvordan angribere udnytter registreringsprocessen.
Almindelige trusler mod QR-godkendelse
- Quishing (QR-phishing): Angribere bruger falske login-sider til at narre brugere til at scanne en ondsindet QR-kode, der registrerer angriberens enhed i stedet for brugerens.
- Ondsindede overlejringer: I fysiske miljøer placeres svigagtige klistermærker over legitime QR-koder for at omdirigere brugere til forfalskede websteder.
- Kompromittering af enhed: Hvis malware inficerer en mobilenhed, kan den potentielt udtrække den hemmelige TOTP-nøgle direkte fra godkender-appen.
- Opsnapping (MitM): Proxyangreb kan opsnappe kommunikationen mellem browseren og godkenderappen under den indledende opsætning.
For at mindske disse risici skal du følge bedste praksis for QR-kodesikkerhed inden for cyberforsvar ved at verificere kilden til hver kode. Salesforce foreslår også at bruge phishing-resistente MFA-metoder, hvor det er muligt, såsom FIDO2-sikkerhedsnøgler, eller at implementere nummermatchning i push-meddelelser for at sikre, at brugeren er fysisk til stede under loginforsøget.
Bedste praksis for administratorimplementering
En vellykket MFA-implementering kræver en balance mellem streng politikhåndhævelse og omfattende brugersupport. Ifølge 2024 Verizon DBIR omgår 61% af angreb svag eller forkert konfigureret MFA, hvilket gør dine konfigurationsvalg afgørende. Brug disse strategier til at styrke dit Salesforce-miljø:
- Kræv MFA for alle brugere: Anvend MFA-krav via sektionen “Identitetsverifikation” i Opsætning, startende med systemadministratorer før en trinvis udrulning til den bredere organisation.
- Tilbyd flere backupmetoder: Sørg for, at brugere registrerer sekundære faktorer, såsom backupkoder eller sekundære sikkerhedsnøgler, for at forhindre udelukkelse, når enheder mistes.
- Gennemgå registreringslogfiler: Gennemgå regelmæssigt Salesforce-revisionslogfiler for at identificere geografiske anomalier eller mistænkelige registreringsmønstre, der afviger fra normal brugeradfærd.
- Håndhæv enhedsbundne godkendere: Brug Mobile Device Management (MDM) software to ensure that authenticator apps are only installed on company-approved and secured devices.
- Roter hemmeligheder regelmæssigt: Hvis du mistænker et kompromis, skal du bruge tilladelsen “Administrer MFA” til at nulstille brugerhemmeligheder og tvinge en ny QR-registrering.
| Funktion | Statisk QR-kode | Dynamisk QR-kode |
|---|---|---|
| Redigerbarhed | Data er permanent, når det først er oprettet | Indhold kan opdateres når som helst |
| Sporing | Ingen scanningsanalyse tilgængelig | Giver scanningsdata i realtid |
| Sikkerhed | Grundlæggende informationslagring | Inkluderer adgangskode og adgangskontroller |
| Friktion | Tættere mønstre kan muligvis ikke scannes | Korte URL'er skaber renere, hurtigere koder |
Har du brug for at administrere sikre QR-koder til din organisation? Udforsk vores dynamiske QR-kodegenerator for at oprette redigerbare, sporbare og adgangskodebeskyttede QR-koder til din interne dokumentation og tekniske onboarding.
Forbedring af QR-kodelæsbarhed og ydeevne
En almindelig udfordring for IT-professionelle er supportbilletten for “mislykket scanning”, som Forrester rapporterer forårsager 23% af MFA-udelukkelser. Dårlig skærmopløsning, forkert kontrast eller genskin kan forhindre et mobilkamera i at læse tilmeldingskoden. For at reducere disse friktionspunkter skal du følge bedste praksis for QR-kodelæsbarhed ved at opretholde et kontrastforhold på mindst 4:1.
Sørg for, at den “stille zone”, som er den hvide kant omkring koden, forbliver uhindret af andre brugergrænsefladeelementer. Når du opretter dokumentation til dit team, skal du sigte efter en minimumsstørrelse på 0,8 x 0,8 tommer for at sikre kompatibilitet med ældre smartphonekameraer. Ved at følge bedste praksis for sikker QR-kodegenerering, kan du sikre, at koder forbliver skarpe og scanbare, selv når de udskrives i træningsmanualer.
Brugertræning og forberedelse af helpdesk
Menneskelige fejl forbliver en betydelig sårbarhed i sikkerhedsstakken. Ud over den tekniske opsætning skal administratorer forberede brugere på at genkende trusler og håndtere deres egen gendannelse. Ved at give brugere QR-koder til software onboarding-guider kan fremskynde adoption og reducere byrden på helpdesken.
- Bekræft domænet: Træn brugere i at kigge efter hængelåsikonet og den officielle Salesforce-URL, før de scanner en registreringskode.
- Rapporter anomalier: Instruer brugere i at afvise og rapportere alle MFA-push-meddelelser, de modtager, når de ikke aktivt forsøger at logge ind.
- Dokumenter flowet: Brug statiske vs dynamiske QR-koder i dit træningsmateriale for at give brugere opdaterede videotutorials, der ikke kræver genudskrivning, når brugergrænsefladen ændres.
- Standardiser gendannelse: Opret scripts til din helpdesk for at verificere identitet, før en mistet enhed “frakobles” i Salesforce, hvilket giver brugeren mulighed for at scanne en ny tilmeldingskode.
Ofte stillede spørgsmål
Naviger til brugerens detaljeside i Salesforce Opsætning og klik på “Frakobl” ud for App-registreringen. Denne handling ugyldiggør den gamle hemmelige nøgle og sikrer, at den mistede enhed ikke længere kan bruges til godkendelse. Næste gang brugeren logger ind, beder Salesforce dem om at scanne en ny QR-kode for at registrere deres erstatningsenhed.
No, users should not use a general-purpose QR code scanner to register for MFA. They must use a dedicated TOTP authenticator app, such as Salesforce Authenticator, Google Authenticator, or Microsoft Authenticator. These apps are designed to securely process the secret key and generate the time-sensitive codes required for login.
Registrerings-QR-koder er midlertidige af sikkerhedsmæssige årsager. Hvis en bruger venter for længe med at scanne koden, udløber sessionen for at forhindre, at den hemmelige nøgle opsnappes af en uautoriseret part. Hvis en kode udløber, skal brugeren blot genindlæse deres login-side for at generere en ny, gyldig kode til registrering.
