Ar ieškote saugiausio būdo įdiegti „Salesforce MFA“ naudojant QR kodus? Neužtikrinus registracijos proceso saugumo, jūsų organizacija gali tapti „quishing“ atakų ir kredencialų vagystės auka. Šiame vadove paaiškinama, kaip sukonfigūruoti QR kodu pagrįstą autentifikavimą ir laikytis pramonės standartinių saugumo protokolų, kad apsaugotumėte savo duomenis.
Kaip QR kodai palengvina „Salesforce MFA“
„Salesforce“ naudoja laiku pagrįstų vienkartinių slaptažodžių (TOTP) protokolus, kad užtikrintų daugiapakopį autentifikavimą (MFA). Įsivaizduokite QR kodą kaip skaitmeninį rankos paspaudimą tarp jūsų „Salesforce“ egzemplioriaus ir patikimo įrenginio. Kai vartotojas pirmą kartą registruoja autentifikavimo programėlę, „Salesforce“ sugeneruoja unikalų QR kodą, kuriame yra bendras slaptas raktas. Nuskenavus šį kodą, mobilusis įrenginys užmezga saugų ryšį, kad kas 30 sekundžių generuotų 6 skaitmenų patvirtinimo kodus.
„Microsoft“ tyrimų duomenimis, šio srauto įdiegimas efektyviai sumažina automatizuotų paskyrų perėmimo riziką 99,9%. Tačiau šio metodo saugumas labai priklauso nuo švaraus registracijos etapo. Administratoriai turi užtikrinti, kad vartotojai nuskaitytų tik kodus, sugeneruotus oficialiame `login.salesforce.com` domene. Naudojant šifruotus QR kodus autentifikavimo platformoms tampa įmonių saugumo standartu, nes tai užtikrina, kad tik įgalioti vartotojai, turintys teisingą iššifravimo raktą, gali pasiekti jautrius registracijos duomenis.
Saugumo rizikos valdymas registracijos sraute
Nors QR kodai suteikia patogumo, jie yra pažeidžiami specializuotų grėsmių. “Silpna MFA registracija yra didžiausia diegimo nesėkmė”, – 2025 m. pažymėjo „Okta“ CISO. Norėdami išlaikyti tvirtą gynybą, turite suprasti, kaip užpuolikai išnaudoja registracijos procesą.
Dažnos grėsmės QR autentifikavimui
- „Quishing“ (QR sukčiavimas): Užpuolikai naudoja netikrus prisijungimo puslapius, kad apgautų vartotojus nuskaityti kenkėjišką QR kodą, kuris registruoja užpuoliko įrenginį, o ne vartotojo.
- Kenkėjiškos perdangos: Fizinėje aplinkoje ant teisėtų QR kodų užklijuojami apgaulingi lipdukai, siekiant nukreipti vartotojus į suklastotas svetaines.
- Įrenginio kompromitavimas: Jei kenkėjiška programa užkrečia mobilųjį įrenginį, ji gali potencialiai išgauti TOTP slaptą raktą tiesiai iš autentifikavimo programėlės.
- Perėmimas (MitM): Tarpinio serverio atakos gali perimti ryšį tarp naršyklės ir autentifikavimo programėlės pradinės sąrankos metu.
Norėdami sumažinti šias rizikas, vadovaukitės geriausia praktika, susijusia su QR kodo saugumu kibernetinėje gynyboje patikrindami kiekvieno kodo šaltinį. „Salesforce“ taip pat siūlo, kur įmanoma, naudoti nuo sukčiavimo apsaugotus MFA metodus, pvz., FIDO2 saugos raktus, arba įdiegti skaičių atitikimą tiesioginiuose pranešimuose, siekiant užtikrinti, kad vartotojas fiziškai būtų prisijungimo bandymo metu.
Geriausia praktika administratoriaus diegimui
Sėkmingam MFA diegimui reikalingas griežtos politikos vykdymo ir visapusiškos vartotojų pagalbos balansas. Remiantis 2024 m. „Verizon DBIR“, 61% atakų apeina silpną arba neteisingai sukonfigūruotą MFA, todėl jūsų konfigūracijos pasirinkimai yra kritiškai svarbūs. Naudokite šias strategijas, kad sustiprintumėte savo „Salesforce“ aplinką:
- Privalomas MFA visiems vartotojams: Taikykite MFA reikalavimus per “Tapatybės patvirtinimo” skyrių nustatymuose, pradedant nuo sistemos administratorių, prieš laipsnišką diegimą platesnei organizacijai.
- Pateikite kelis atsarginius metodus: Užtikrinkite, kad vartotojai registruotų antrinius veiksnius, pvz., atsarginius kodus ar antrinius saugos raktus, kad išvengtų užblokavimo pametus įrenginius.
- Tikrinkite registracijos žurnalus: Reguliariai peržiūrėkite „Salesforce“ audito žurnalus, kad nustatytumėte geografinius nukrypimus ar įtartinus registracijos modelius, kurie skiriasi nuo įprasto vartotojo elgesio.
- Įdiekite prie įrenginio pririštus autentifikatorius: Naudokite Mobile Device Management (MDM) software to ensure that authenticator apps are only installed on company-approved and secured devices.
- Reguliariai keiskite paslaptis: Jei įtariate pažeidimą, naudokite “Tvarkyti MFA” leidimą, kad iš naujo nustatytumėte vartotojo paslaptis ir priverstumėte naują QR registraciją.
| Funkcija | Statinis QR kodas | Dinaminis QR kodas |
|---|---|---|
| Redaguojamumas | Duomenys yra nuolatiniai, kai sukurti | Turinys gali būti atnaujinamas bet kada |
| Sekimas | Nėra nuskaitymo analizės duomenų | Teikia nuskaitymo duomenis realiuoju laiku |
| Saugumas | Pagrindinė informacijos saugykla | Apima slaptažodį ir prieigos kontrolę |
| Trintis | Tankesni raštai gali nepavykti nuskaityti | Trumpi URL adresai sukuria švaresnius, greitesnius kodus |
Reikia valdyti saugius QR kodus savo organizacijai? Išbandykite mūsų dinaminį QR kodo generatorių kad sukurtumėte redaguojamus, sekamus ir slaptažodžiu apsaugotus QR kodus savo vidinei dokumentacijai ir techniniam prisijungimui.
QR kodo skaitomumo ir našumo gerinimas
Dažna IT specialistų kliūtis yra “nepavykusio nuskaitymo” palaikymo bilietas, kuris, pasak Forrester, sukelia 23% MFA užrakinimų. Prasta ekrano raiška, netinkamas kontrastas ar akinimas gali neleisti mobiliojo telefono kamerai nuskaityti registracijos kodo. Norėdami sumažinti šiuos trinties taškus, vadovaukitės geriausia praktika QR kodo skaitomumui išlaikant bent 4:1 kontrasto santykį.
Užtikrinkite, kad “tylioji zona”, kuri yra baltas kraštas aplink kodą, liktų neužblokuota kitų vartotojo sąsajos elementų. Kurdami dokumentaciją savo komandai, siekite minimalaus 0,8 x 0,8 colio dydžio, kad užtikrintumėte suderinamumą su senesnių išmaniųjų telefonų kameromis. Laikydamiesi saugios QR kodo generavimo geriausia praktika, galite užtikrinti, kad kodai išliktų aiškūs ir nuskaitomi net spausdinant mokymo vadovuose.
Vartotojų mokymas ir pagalbos tarnybos paruošimas
Žmogaus klaida išlieka reikšmingu pažeidžiamumu saugumo sistemoje. Be techninės sąrankos, administratoriai turi paruošti vartotojus atpažinti grėsmes ir valdyti savo atkūrimą. Suteikiant vartotojams QR kodai programinei įrangai įvedimo vadovai gali pagreitinti pritaikymą ir sumažinti pagalbos tarnybos naštą.
- Patikrinkite domeną: Mokykite vartotojus ieškoti spynos piktogramos ir oficialaus „Salesforce“ URL prieš nuskaitant bet kokį registracijos kodą.
- Praneškite apie anomalijas: Nurodykite vartotojams atmesti ir pranešti apie bet kokius MFA tiesioginius pranešimus, kuriuos jie gauna, kai aktyviai nebando prisijungti.
- Dokumentuokite eigą: Naudokite statinių ir dinaminių QR kodų savo mokymo medžiagoje, kad vartotojams būtų pateiktos atnaujintos vaizdo pamokos, kurių nereikia perspausdinti pasikeitus vartotojo sąsajai.
- Standartizuokite atkūrimą: Sukurkite scenarijus savo pagalbos tarnybai, kad patvirtintumėte tapatybę prieš “atjungiant” pamestą įrenginį „Salesforce“ sistemoje, o tai leidžia vartotojui nuskaityti naują registracijos kodą.
DUK
“Salesforce” nustatymuose eikite į vartotojo išsamios informacijos puslapį ir spustelėkite „Atjungti“ šalia programos registracijos. Šis veiksmas panaikina seną slaptą raktą ir užtikrina, kad pamestas įrenginys nebegalės būti naudojamas autentifikavimui. Kitą kartą prisijungus, „Salesforce“ paragins vartotoją nuskaityti naują QR kodą, kad užregistruotų savo pakaitinį įrenginį.
No, users should not use a general-purpose QR code scanner to register for MFA. They must use a dedicated TOTP authenticator app, such as Salesforce Authenticator, Google Authenticator, or Microsoft Authenticator. These apps are designed to securely process the secret key and generate the time-sensitive codes required for login.
Registracijos QR kodai yra laikini dėl saugumo priežasčių. Jei vartotojas per ilgai laukia, kol nuskaitys kodą, sesija baigiasi, kad būtų išvengta slapto rakto perėmimo neįgaliotos šalies. Jei kodas nustoja galioti, vartotojui tereikia atnaujinti prisijungimo puslapį, kad būtų sugeneruotas naujas, galiojantis kodas registracijai.
