Etsitkö turvallisinta tapaa ottaa käyttöön Salesforce MFA QR-koodeilla? Jos rekisteröintiprosessia ei suojata, organisaatiosi voi altistua quishing-hyökkäyksille ja tunnistetietojen varkauksille. Tämä opas selittää, miten QR-pohjainen todennus määritetään ja miten noudatetaan alan standardin mukaisia suojausprotokollia tietojesi suojaamiseksi.
Miten QR-koodit helpottavat Salesforce MFA:ta
Salesforce käyttää aikaperusteisia kertakäyttösalasanoja (TOTP) monivaiheisen todennuksen (MFA) toteuttamiseen. Ajattele QR-koodia digitaalisena kädenpuristuksena Salesforce-instanssisi ja luotetun laitteen välillä. Kun käyttäjä rekisteröi todennussovelluksen ensimmäistä kertaa, Salesforce luo yksilöllisen QR-koodin, joka sisältää jaetun salaisen avaimen. Skannaamalla tämän koodin mobiililaite luo suojatun yhteyden, jolla se voi luoda 6-numeroisia vahvistuskoodeja 30 sekunnin välein.
Tämän työnkulun käyttöönotto vähentää tehokkaasti automaattisten tilinvaltausten riskiä 99,9 %:lla Microsoftin tutkimuksen mukaan. Tämän menetelmän turvallisuus riippuu kuitenkin suuresti puhtaasta rekisteröintivaiheesta. Järjestelmänvalvojien on varmistettava, että käyttäjät skannaavat vain virallisen `login.salesforce.com`-verkkotunnuksen sisällä luotuja koodeja. Käyttämällä salattuja QR-koodeja todennusalustoille on tulossa standardiksi yritysturvallisuudessa, sillä se varmistaa, että vain valtuutetut käyttäjät, joilla on oikea salauksenpurkuavain, voivat käyttää arkaluonteisia rekisteröintitietoja.
Turvallisuusriskien hallinta rekisteröintiprosessissa
Vaikka QR-koodit tarjoavat mukavuutta, ne ovat alttiita erikoistuneille uhille. “Heikko MFA-rekisteröinti on suurin käyttöönoton epäonnistuminen”, totesi Oktan CISO vuonna 2025. Vahvan puolustuksen ylläpitämiseksi sinun on ymmärrettävä, miten hyökkääjät hyödyntävät rekisteröintiprosessia.
Yleisiä uhkia QR-todennukselle
- Quishing (QR-tietojenkalastelu): Hyökkääjät käyttävät väärennettyjä kirjautumissivuja huijatakseen käyttäjiä skannaamaan haitallisen QR-koodin, joka rekisteröi hyökkääjän laitteen käyttäjän laitteen sijaan.
- Haitalliset peittokuvat: Fyysisissä ympäristöissä laillisten QR-koodien päälle asetetaan petollisia tarroja ohjaamaan käyttäjiä väärennettyihin sivustoihin.
- Laitteen vaarantuminen: Jos haittaohjelma tartuttaa mobiililaitteen, se voi mahdollisesti poimia TOTP-salaisen avaimen suoraan todennussovelluksesta.
- Sieppaus (MitM): Välityspalveluhyökkäykset voivat siepata selaimen ja todennussovelluksen välisen viestinnän alkuasetusten aikana.
Näiden riskien lieventämiseksi noudata kyberturvallisuuden parhaita käytäntöjä QR-koodien turvallisuudessa varmistamalla jokaisen koodin lähde. Salesforce ehdottaa myös mahdollisuuksien mukaan tietojenkalastelua kestävien MFA-menetelmien käyttöä, kuten FIDO2-turva-avaimia, tai numeroiden täsmäytyksen käyttöönottoa push-ilmoituksissa varmistaakseen, että käyttäjä on fyysisesti läsnä kirjautumisyrityksen aikana.
Parhaat käytännöt järjestelmänvalvojan toteutukseen
Onnistunut MFA-käyttöönotto edellyttää tasapainoa tiukan käytäntöjen noudattamisen ja kattavan käyttäjätuen välillä. Vuoden 2024 Verizon DBIR -raportin mukaan 61 % hyökkäyksistä ohittaa heikon tai virheellisesti konfiguroidun MFA:n, mikä tekee konfigurointivalinnoistasi kriittisiä. Käytä näitä strategioita Salesforce-ympäristösi vahvistamiseen:
- Pakota MFA kaikille käyttäjille: Ota MFA-vaatimukset käyttöön Asetukset-kohdan “Identiteetin vahvistus” -osiossa, aloittaen järjestelmänvalvojista ennen vaiheittaista käyttöönottoa koko organisaatiossa.
- Tarjoa useita varmuuskopiointimenetelmiä: Varmista, että käyttäjät rekisteröivät toissijaisia tekijöitä, kuten varmuuskopiointikoodeja tai toissijaisia turva-avaimia, estääksesi lukkiutumiset laitteiden kadotessa.
- Tarkasta rekisteröintilokit: Tarkista säännöllisesti Salesforcen tarkastuslokit tunnistaaksesi maantieteellisiä poikkeamia tai epäilyttäviä rekisteröintimalleja, jotka poikkeavat normaalista käyttäytymisestä.
- Pakota laitekohtaiset todennusmenetelmät: Käytä Mobile Device Management (MDM) software to ensure that authenticator apps are only installed on company-approved and secured devices.
- Kierrätä salaisuuksia säännöllisesti: Jos epäilet tietoturvaloukkausta, käytä “Hallitse MFA:ta” -oikeutta nollataksesi käyttäjän salaisuudet ja pakottaaksesi uuden QR-rekisteröinnin.
| Ominaisuus | Staattinen QR-koodi | Dynaaminen QR-koodi |
|---|---|---|
| Muokattavuus | Data on pysyvää luomisen jälkeen | Sisältö voidaan päivittää milloin tahansa |
| Seuranta | Skannausanalytiikkaa ei saatavilla | Tarjoaa reaaliaikaista skannaustietoa |
| Turvallisuus | Perustietojen tallennus | Sisältää salasanan ja pääsynhallinnan |
| Kitka | Tiheämmät kuviot eivät välttämättä skannaudu | Lyhyet URL-osoitteet luovat puhtaampia, nopeampia koodeja |
Tarvitseeko organisaatiosi hallita turvallisia QR-koodeja? Tutustu dynaamiseen QR-koodigeneraattoriimme luodaksesi muokattavia, jäljitettäviä ja salasanasuojattuja QR-koodeja sisäiseen dokumentaatioosi ja tekniseen perehdytykseen.
QR-koodin luettavuuden ja suorituskyvyn parantaminen
Yleinen este IT-ammattilaisille on “epäonnistunut skannaus” -tukipyyntö, joka Forresterin mukaan aiheuttaa 23 % MFA-lukituksista. Huono näytön tarkkuus, virheellinen kontrasti tai häikäisy voi estää mobiilikameraa lukemasta rekisteröintikoodia. Näiden kitkapisteiden vähentämiseksi noudata parhaita käytäntöjä QR-koodin luettavuudelle ylläpitämällä vähintään 4:1 kontrastisuhdetta.
Varmista, että “hiljainen alue”, joka on koodin ympärillä oleva valkoinen reunus, pysyy esteettömänä muista käyttöliittymäelementeistä. Kun luot dokumentaatiota tiimillesi, pyri vähintään 0,8 x 0,8 tuuman kokoon varmistaaksesi yhteensopivuuden vanhempien älypuhelinkameroiden kanssa. Noudattamalla turvalliset QR-koodin luomisen parhaat käytännöt, voit varmistaa, että koodit pysyvät terävinä ja skannattavina myös koulutusoppaisiin tulostettuna.
Käyttäjäkoulutus ja tukipalvelun valmistelu
Ihmisen virhe on edelleen merkittävä haavoittuvuus tietoturvapinossa. Tekniset asetukset huomioiden, ylläpitäjien on valmisteltava käyttäjiä tunnistamaan uhat ja hallitsemaan omaa palautumistaan. Tarjoamalla käyttäjille QR-koodit ohjelmistoille perehdytysoppaat voivat nopeuttaa käyttöönottoa ja vähentää tukipalvelun kuormitusta.
- Tarkista verkkotunnus: Kouluta käyttäjiä etsimään riippulukkokuvaketta ja virallista Salesforce-URL-osoitetta ennen minkään rekisteröintikoodin skannaamista.
- Ilmoita poikkeamista: Ohjeista käyttäjiä hylkäämään ja ilmoittamaan kaikista MFA-push-ilmoituksista, joita he saavat, kun he eivät aktiivisesti yritä kirjautua sisään.
- Dokumentoi työnkulku: Käytä staattisten ja dynaamisten QR-koodien välillä koulutusmateriaaleissasi tarjotaksesi käyttäjille ajantasaisia video-oppaita, joita ei tarvitse tulostaa uudelleen käyttöliittymän muuttuessa.
- Standardoi palautus: Luo tukipalvelullesi skriptejä henkilöllisyyden varmistamiseksi ennen kadonneen laitteen “irrottamista” Salesforcessa, mikä antaa käyttäjälle mahdollisuuden skannata uusi rekisteröintikoodi.
UKK
Siirry käyttäjän tietosivulle Salesforce Setupissa ja napsauta “Katkaise yhteys” (Disconnect) App Registration -kohdan vieressä. Tämä toimenpide mitätöi vanhan salaisen avaimen ja varmistaa, ettei kadonnutta laitetta voi enää käyttää tunnistautumiseen. Seuraavan kerran kun käyttäjä kirjautuu sisään, Salesforce kehottaa häntä skannaamaan uuden QR-koodin korvaavan laitteensa rekisteröimiseksi.
No, users should not use a general-purpose QR code scanner to register for MFA. They must use a dedicated TOTP authenticator app, such as Salesforce Authenticator, Google Authenticator, or Microsoft Authenticator. These apps are designed to securely process the secret key and generate the time-sensitive codes required for login.
Rekisteröitymisen QR-koodit ovat väliaikaisia turvallisuussyistä. Jos käyttäjä odottaa liian kauan koodin skannaamista, istunto aikakatkaistaan, jotta luvaton osapuoli ei pääse sieppaamaan salaista avainta. Jos koodi vanhenee, käyttäjän tarvitsee vain päivittää kirjautumissivunsa luodakseen uuden, kelvollisen koodin rekisteröitymistä varten.
