Recherchez-vous le moyen le plus sécurisé d'implémenter l'AMF Salesforce à l'aide de codes QR ? Ne pas sécuriser le processus d'inscription peut exposer votre organisation aux attaques de quishing et au vol d'identifiants. Ce guide explique comment configurer l'authentification basée sur les codes QR et suivre les protocoles de sécurité standard de l'industrie pour protéger vos données.
Comment les codes QR facilitent l'AMF Salesforce
Salesforce utilise les protocoles de mot de passe à usage unique basé sur le temps (TOTP) pour alimenter son authentification multi-facteurs (AMF). Considérez le code QR comme une poignée de main numérique entre votre instance Salesforce et un appareil de confiance. Lorsqu'un utilisateur enregistre pour la première fois une application d'authentification, Salesforce génère un code QR unique qui contient une clé secrète partagée. En scannant ce code, l'appareil mobile établit un lien sécurisé pour générer des codes de vérification à 6 chiffres toutes les 30 secondes.
La mise en œuvre de ce flux réduit efficacement le risque de prises de contrôle de compte automatisées de 99,9 %, selon une étude de Microsoft. Cependant, la sécurité de cette méthode repose fortement sur une phase d'inscription propre. Les administrateurs doivent s'assurer que les utilisateurs ne scannent que les codes générés dans le domaine officiel `login.salesforce.com`. L'utilisation de codes QR chiffrés pour les plateformes d'authentification devient une norme pour la sécurité d'entreprise, car elle garantit que seuls les utilisateurs autorisés disposant de la clé de déchiffrement correcte peuvent accéder aux données d'inscription sensibles.
Gestion des risques de sécurité dans le flux d'inscription
Bien que les codes QR offrent une commodité, ils sont susceptibles de menaces spécialisées. “ L'inscription AMF faible est la plus grande défaillance de déploiement ”, a noté le CISO d'Okta en 2025. Pour maintenir une défense robuste, vous devez comprendre comment les attaquants exploitent le processus d'inscription.
Menaces courantes pour l'authentification QR
- Quishing (hameçonnage par QR): Les attaquants utilisent de fausses pages de connexion pour inciter les utilisateurs à scanner un code QR malveillant qui enregistre l'appareil de l'attaquant au lieu de celui de l'utilisateur.
- Superpositions malveillantes: Dans les environnements physiques, des autocollants frauduleux sont placés sur des codes QR légitimes pour rediriger les utilisateurs vers des sites falsifiés.
- Compromission de l'appareil: Si un logiciel malveillant infecte un appareil mobile, il peut potentiellement extraire la clé secrète TOTP directement de l'application d'authentification.
- Interception (MitM): Les attaques par proxy peuvent intercepter la communication entre le navigateur et l'application d'authentification lors de la configuration initiale.
Pour atténuer ces risques, suivez les meilleures pratiques en matière de sécurité des codes QR dans la cyberdéfense en vérifiant la source de chaque code. Salesforce suggère également d'utiliser des méthodes MFA résistantes au phishing lorsque cela est possible, telles que les clés de sécurité FIDO2, ou de mettre en œuvre la correspondance numérique dans les notifications push pour s'assurer que l'utilisateur est physiquement présent lors de la tentative de connexion.
Meilleures pratiques pour l'implémentation par l'administrateur
Le déploiement réussi de la MFA nécessite un équilibre entre l'application stricte des politiques et un support utilisateur complet. Selon le rapport DBIR 2024 de Verizon, 61 % des attaques contournent les MFA faibles ou mal configurées, ce qui rend vos choix de configuration critiques. Utilisez ces stratégies pour renforcer votre environnement Salesforce :
- Rendre la MFA obligatoire pour tous les utilisateurs: Appliquez les exigences MFA via la section “ Vérification de l'identité ” dans la Configuration, en commençant par les administrateurs système avant un déploiement progressif à l'ensemble de l'organisation.
- Fournir plusieurs méthodes de sauvegarde: Assurez-vous que les utilisateurs enregistrent des facteurs secondaires, tels que des codes de sauvegarde ou des clés de sécurité secondaires, pour éviter les blocages en cas de perte d'appareils.
- Auditer les journaux d'inscription: Examinez régulièrement les journaux d'audit de Salesforce pour identifier les anomalies géographiques ou les modèles d'inscription suspects qui s'écartent du comportement normal de l'utilisateur.
- Appliquer les authentificateurs liés à l'appareil: Utiliser Mobile Device Management (MDM) software to ensure that authenticator apps are only installed on company-approved and secured devices.
- Faire pivoter les secrets régulièrement: Si vous suspectez une compromission, utilisez l'autorisation “ Gérer la MFA ” pour réinitialiser les secrets de l'utilisateur et forcer une nouvelle inscription par QR.
| Fonctionnalité | Code QR statique | Code QR dynamique |
|---|---|---|
| Éditabilité | Les données sont permanentes une fois créées | Le contenu peut être mis à jour à tout moment |
| Tracking | Aucune analyse de scan disponible | Fournit des données de scan en temps réel |
| Sécurité | Stockage d'informations de base | Comprend des contrôles d'accès et de mot de passe |
| Friction | Les motifs plus denses peuvent échouer au scan | Les URL courtes créent des codes plus propres et plus rapides |
Besoin de gérer des codes QR sécurisés pour votre organisation ? Découvrez notre générateur de codes QR dynamiques pour créer des codes QR modifiables, traçables et protégés par mot de passe pour votre documentation interne et votre intégration technique.
Améliorer la lisibilité et les performances des codes QR
Un obstacle courant pour les professionnels de l'informatique est le ticket de support pour “ scan échoué ”, qui, selon Forrester, est à l'origine de 23 % des blocages MFA. Une mauvaise résolution d'écran, un contraste inapproprié ou un éblouissement peuvent empêcher un appareil photo mobile de lire le code d'inscription. Pour réduire ces points de friction, suivez les meilleures pratiques pour la lisibilité des codes QR en maintenant un rapport de contraste d'au moins 4:1.
Assurez-vous que la “ zone de silence ”, qui est la bordure blanche autour du code, reste dégagée de tout autre élément d'interface utilisateur. Lors de la création de documentation pour votre équipe, visez une taille minimale de 0,8 x 0,8 pouces pour assurer la compatibilité avec les appareils photo des smartphones plus anciens. En suivant bonnes pratiques de génération de codes QR sécurisés, vous pouvez vous assurer que les codes restent nets et scannables même lorsqu'ils sont imprimés dans des manuels de formation.
Formation des utilisateurs et préparation du service d'assistance
L'erreur humaine reste une vulnérabilité importante dans la pile de sécurité. Au-delà de la configuration technique, les administrateurs doivent préparer les utilisateurs à reconnaître les menaces et à gérer leur propre récupération. Fournir aux utilisateurs des Codes QR pour logiciels guides d'intégration peut accélérer l'adoption et réduire la charge de travail du service d'assistance.
- Vérifier le domaine: Formez les utilisateurs à rechercher l'icône du cadenas et l'URL officielle de Salesforce avant de scanner tout code d'enregistrement.
- Signaler les anomalies: Demandez aux utilisateurs de refuser et de signaler toute notification push MFA qu'ils reçoivent lorsqu'ils n'essaient pas activement de se connecter.
- Documenter le flux: Utiliser static vs dynamic QR codes dans vos supports de formation pour fournir aux utilisateurs des tutoriels vidéo à jour qui ne nécessitent pas de réimpression lorsque l'interface utilisateur change.
- Standardiser la récupération: Créez des scripts pour votre service d'assistance afin de vérifier l'identité avant de “ déconnecter ” un appareil perdu dans Salesforce, ce qui permet à l'utilisateur de scanner un nouveau code d'inscription.
FAQ
Accédez à la page de détails de l'utilisateur dans la configuration de Salesforce et cliquez sur “ Déconnecter ” à côté de l'enregistrement de l'application. Cette action invalide l'ancienne clé secrète et garantit que l'appareil perdu ne peut plus être utilisé pour l'authentification. La prochaine fois que l'utilisateur se connectera, Salesforce lui demandera de scanner un nouveau code QR pour enregistrer son appareil de remplacement.
No, users should not use a general-purpose QR code scanner to register for MFA. They must use a dedicated TOTP authenticator app, such as Salesforce Authenticator, Google Authenticator, or Microsoft Authenticator. These apps are designed to securely process the secret key and generate the time-sensitive codes required for login.
Les codes QR d'inscription sont temporaires pour des raisons de sécurité. Si un utilisateur attend trop longtemps pour scanner le code, la session expire pour empêcher que la clé secrète ne soit interceptée par une partie non autorisée. Si un code expire, l'utilisateur doit simplement actualiser sa page de connexion pour générer un nouveau code valide pour l'inscription.
