Stai cercando il modo più sicuro per implementare l'MFA di Salesforce utilizzando i codici QR? Non riuscire a proteggere il processo di registrazione può esporre la tua organizzazione ad attacchi di quishing e furto di credenziali. Questa guida spiega come configurare l'autenticazione basata su QR e seguire i protocolli di sicurezza standard del settore per proteggere i tuoi dati.
Come i codici QR facilitano l'MFA di Salesforce
Salesforce utilizza i protocolli Time-based One-Time Password (TOTP) per alimentare la sua autenticazione a più fattori (MFA). Pensa al codice QR come a una stretta di mano digitale tra la tua istanza Salesforce e un dispositivo fidato. Quando un utente registra per la prima volta un'app di autenticazione, Salesforce genera un codice QR unico che contiene una chiave segreta condivisa. Scansionando questo codice, il dispositivo mobile stabilisce un collegamento sicuro per generare codici di verifica a 6 cifre ogni 30 secondi.
L'implementazione di questo flusso riduce efficacemente il rischio di acquisizioni automatiche di account del 99,9%, secondo la ricerca Microsoft. Tuttavia, la sicurezza di questo metodo si basa fortemente su una fase di registrazione pulita. Gli amministratori devono assicurarsi che gli utenti scansionino solo i codici generati all'interno del dominio ufficiale `login.salesforce.com`. L'utilizzo di codici QR crittografati per piattaforme di autenticazione sta diventando uno standard per la sicurezza aziendale, poiché garantisce che solo gli utenti autorizzati con la chiave di decrittazione corretta possano accedere ai dati di registrazione sensibili.
Gestione dei rischi di sicurezza nel flusso di registrazione
Sebbene i codici QR offrano comodità, sono suscettibili a minacce specializzate. “La registrazione MFA debole è il più grande fallimento di implementazione”, ha osservato il CISO di Okta nel 2025. Per mantenere una difesa robusta, è necessario comprendere come gli aggressori sfruttano il processo di registrazione.
Minacce comuni all'autenticazione QR
- Quishing (Phishing QR): Gli aggressori utilizzano pagine di accesso false per indurre gli utenti a scansionare un codice QR dannoso che registra il dispositivo dell'aggressore invece di quello dell'utente.
- Sovrapposizioni dannose: In ambienti fisici, adesivi fraudolenti vengono posizionati sopra codici QR legittimi per reindirizzare gli utenti a siti spoofed.
- Compromissione del dispositivo: Se un malware infetta un dispositivo mobile, può potenzialmente estrarre la chiave segreta TOTP direttamente dall'app di autenticazione.
- Intercettazione (MitM): Gli attacchi proxy possono intercettare la comunicazione tra il browser e l'app di autenticazione durante la configurazione iniziale.
Per mitigare questi rischi, segui le migliori pratiche per la sicurezza dei codici QR nella difesa informatica verificando la fonte di ogni codice. Salesforce suggerisce anche di utilizzare metodi MFA resistenti al phishing, ove possibile, come le chiavi di sicurezza FIDO2, o di implementare la corrispondenza numerica nelle notifiche push per garantire che l'utente sia fisicamente presente durante il tentativo di accesso.
Migliori Pratiche per l'Implementazione da Parte degli Amministratori
Un'implementazione MFA di successo richiede un equilibrio tra una rigorosa applicazione delle policy e un supporto utente completo. Secondo il Verizon DBIR 2024, il 61% degli attacchi aggira l'MFA debole o mal configurato, rendendo le tue scelte di configurazione critiche. Utilizza queste strategie per rafforzare il tuo ambiente Salesforce:
- Rendi obbligatoria l'MFA per tutti gli utenti: Applica i requisiti MFA tramite la sezione “Verifica dell'Identità” in Configurazione, iniziando con gli Amministratori di Sistema prima di un'implementazione graduale all'intera organizzazione.
- Fornisci Metodi di Backup Multipli: Assicurati che gli utenti registrino fattori secondari, come codici di backup o chiavi di sicurezza secondarie, per prevenire blocchi quando i dispositivi vengono persi.
- Verifica i Log di Registrazione: Rivedi regolarmente i log di audit di Salesforce per identificare anomalie geografiche o schemi di registrazione sospetti che deviano dal normale comportamento dell'utente.
- Applica Autenticatori Vincolati al Dispositivo: Utilizzo Mobile Device Management (MDM) software to ensure that authenticator apps are only installed on company-approved and secured devices.
- Ruota Regolarmente i Segreti: Se sospetti una compromissione, utilizza il permesso “Gestisci MFA” per reimpostare i segreti dell'utente e forzare una nuova registrazione QR.
| Funzionalità | Codice QR statico | Codice QR dinamico |
|---|---|---|
| Modificabilità | I dati sono permanenti una volta creati | Il contenuto può essere aggiornato in qualsiasi momento |
| Tracciamento | Nessuna analisi delle scansioni disponibile | Fornisce dati di scansione in tempo reale |
| Sicurezza | Archiviazione di informazioni di base | Include password e controlli di accesso |
| Attrito | I modelli più densi potrebbero non essere scansionati | Gli URL brevi creano codici più puliti e veloci |
Hai bisogno di gestire codici QR sicuri per la tua organizzazione? Esplora il nostro Generatore di codici QR dinamici per creare codici QR modificabili, tracciabili e protetti da password per la tua documentazione interna e l'onboarding tecnico.
Migliorare la leggibilità e le prestazioni dei codici QR
Un ostacolo comune per i professionisti IT è il ticket di supporto per “scansione fallita”, che secondo Forrester causa il 23% dei blocchi MFA. La scarsa risoluzione dello schermo, il contrasto improprio o il riflesso possono impedire a una fotocamera mobile di leggere il codice di registrazione. Per ridurre questi punti di attrito, segui le migliori pratiche per la leggibilità dei codici QR mantenendo un rapporto di contrasto di almeno 4:1.
Assicurati che la “zona tranquilla”, ovvero il bordo bianco attorno al codice, rimanga libera da altri elementi dell'interfaccia utente. Quando crei documentazione per il tuo team, punta a una dimensione minima di 0,8 x 0,8 pollici per garantire la compatibilità con le fotocamere degli smartphone più vecchi. Seguendo migliori pratiche per la generazione sicura di codici QR, puoi assicurarti che i codici rimangano nitidi e scansionabili anche quando stampati nei manuali di formazione.
Formazione degli utenti e preparazione dell'Help Desk
L'errore umano rimane una vulnerabilità significativa nello stack di sicurezza. Oltre alla configurazione tecnica, gli amministratori devono preparare gli utenti a riconoscere le minacce e a gestire il proprio recupero. Fornire agli utenti Codici QR per software guide di onboarding può accelerare l'adozione e ridurre il carico sull'help desk.
- Verifica il Dominio: Addestra gli utenti a cercare l'icona del lucchetto e l'URL ufficiale di Salesforce prima di scansionare qualsiasi codice di registrazione.
- Segnala Anomalie: Istruisci gli utenti a negare e segnalare qualsiasi notifica push MFA che ricevono quando non stanno attivamente tentando di accedere.
- Documenta il Flusso: Utilizzo codici QR statici vs dinamici nei tuoi materiali di formazione per fornire agli utenti tutorial video aggiornati che non richiedono la ristampa quando l'interfaccia utente cambia.
- Standardizza il Recupero: Crea script per il tuo help desk per verificare l'identità prima di “disconnettere” un dispositivo smarrito in Salesforce, il che consente all'utente di scansionare un nuovo codice di registrazione.
FAQ
Vai alla pagina dei dettagli dell'utente in Salesforce Setup e clicca su “Disconnetti” accanto a Registrazione App. Questa azione invalida la vecchia chiave segreta e assicura che il dispositivo smarrito non possa più essere utilizzato per l'autenticazione. La prossima volta che l'utente effettua l'accesso, Salesforce gli chiederà di scansionare un nuovo codice QR per registrare il suo dispositivo sostitutivo.
No, users should not use a general-purpose QR code scanner to register for MFA. They must use a dedicated TOTP authenticator app, such as Salesforce Authenticator, Google Authenticator, or Microsoft Authenticator. These apps are designed to securely process the secret key and generate the time-sensitive codes required for login.
I codici QR di registrazione sono temporanei per motivi di sicurezza. Se un utente attende troppo a lungo per scansionare il codice, la sessione scade per impedire che la chiave segreta venga intercettata da una parte non autorizzata. Se un codice scade, l'utente deve semplicemente aggiornare la propria pagina di accesso per generare un codice nuovo e valido per la registrazione.
