Adakah anda mencari cara paling selamat untuk melaksanakan MFA Salesforce menggunakan kod QR? Kegagalan untuk menjamin proses pendaftaran boleh mendedahkan organisasi anda kepada serangan quishing dan kecurian kelayakan. Panduan ini menerangkan cara mengkonfigurasi pengesahan berasaskan QR dan mengikuti protokol keselamatan standard industri untuk melindungi data anda.
Bagaimana Kod QR Memudahkan MFA Salesforce
Salesforce menggunakan protokol Kata Laluan Sekali Berasaskan Masa (TOTP) untuk menggerakkan pengesahan berbilang faktor (MFA)nya. Anggap kod QR sebagai jabat tangan digital antara instans Salesforce anda dan peranti yang dipercayai. Apabila pengguna mula-mula mendaftar aplikasi pengesah, Salesforce menjana kod QR unik yang mengandungi kunci rahsia kongsi. Dengan mengimbas kod ini, peranti mudah alih mewujudkan pautan selamat untuk menjana kod pengesahan 6 digit setiap 30 saat.
Melaksanakan aliran ini secara berkesan mengurangkan risiko pengambilalihan akaun automatik sebanyak 99.9%, menurut penyelidikan Microsoft. Walau bagaimanapun, keselamatan kaedah ini sangat bergantung pada fasa pendaftaran yang bersih. Pentadbir mesti memastikan bahawa pengguna hanya mengimbas kod yang dijana dalam domain rasmi `login.salesforce.com`. Menggunakan kod QR yang disulitkan untuk platform pengesahan semakin menjadi standard untuk keselamatan perusahaan, kerana ia memastikan bahawa hanya pengguna yang dibenarkan dengan kunci penyahsulitan yang betul boleh mengakses data pendaftaran sensitif.
Mengurus Risiko Keselamatan dalam Aliran Pendaftaran
Walaupun kod QR menawarkan kemudahan, ia terdedah kepada ancaman khusus. “Pendaftaran MFA yang lemah adalah kegagalan penggunaan terbesar,” kata CISO Okta pada tahun 2025. Untuk mengekalkan pertahanan yang teguh, anda mesti memahami bagaimana penyerang mengeksploitasi proses pendaftaran.
Ancaman Biasa kepada Pengesahan QR
- Quishing (Pancingan Data QR): Penyerang menggunakan halaman log masuk palsu untuk memperdaya pengguna agar mengimbas kod QR berniat jahat yang mendaftarkan peranti penyerang dan bukannya peranti pengguna.
- Lapisan Bertindih Berbahaya: Dalam persekitaran fizikal, pelekat palsu diletakkan di atas kod QR yang sah untuk mengalihkan pengguna ke tapak yang dipalsukan.
- Kompromi Peranti: Jika perisian hasad menjangkiti peranti mudah alih, ia berpotensi mengekstrak kunci rahsia TOTP terus daripada aplikasi pengesah.
- Pintasan (MitM): Serangan proksi boleh memintas komunikasi antara pelayar dan aplikasi pengesah semasa persediaan awal.
Untuk mengurangkan risiko ini, ikuti amalan terbaik untuk keselamatan kod QR dalam pertahanan siber dengan mengesahkan sumber setiap kod. Salesforce juga mencadangkan penggunaan kaedah MFA yang tahan pancingan data jika boleh, seperti kunci keselamatan FIDO2, atau melaksanakan padanan nombor dalam pemberitahuan tolak untuk memastikan pengguna hadir secara fizikal semasa percubaan log masuk.
Amalan Terbaik untuk Pelaksanaan Pentadbir
Pelaksanaan MFA yang berjaya memerlukan keseimbangan antara penguatkuasaan dasar yang ketat dan sokongan pengguna yang komprehensif. Menurut DBIR Verizon 2024, 61% serangan memintas MFA yang lemah atau salah konfigurasi, menjadikan pilihan konfigurasi anda kritikal. Gunakan strategi ini untuk mengukuhkan persekitaran Salesforce anda:
- Wajibkan MFA untuk Semua Pengguna: Gunakan keperluan MFA melalui bahagian “Pengesahan Identiti” dalam Persediaan, bermula dengan Pentadbir Sistem sebelum pelancaran berperingkat kepada organisasi yang lebih luas.
- Sediakan Pelbagai Kaedah Sandaran: Pastikan pengguna mendaftar faktor sekunder, seperti kod sandaran atau kunci keselamatan sekunder, untuk mengelakkan penguncian apabila peranti hilang.
- Audit Log Pendaftaran: Semak log audit Salesforce secara berkala untuk mengenal pasti anomali geografi atau corak pendaftaran yang mencurigakan yang menyimpang daripada tingkah laku pengguna biasa.
- Kuat Kuasakan Pengesah Terikat Peranti: Gunakan Mobile Device Management (MDM) software to ensure that authenticator apps are only installed on company-approved and secured devices.
- Putar Rahsia Secara Berkala: Jika anda mengesyaki kompromi, gunakan kebenaran “Urus MFA” untuk menetapkan semula rahsia pengguna dan memaksa pendaftaran QR baharu.
| Ciri | Kod QR Statik | Kod QR Dinamik |
|---|---|---|
| Keboleheditan | Data adalah kekal setelah dicipta | Kandungan boleh dikemas kini pada bila-bila masa |
| Penjejakan | Tiada analitik imbasan tersedia | Menyediakan data imbasan masa nyata |
| Keselamatan | Penyimpanan maklumat asas | Termasuk kata laluan dan kawalan akses |
| Geseran | Corak yang lebih padat mungkin gagal diimbas | URL pendek mencipta kod yang lebih bersih, lebih pantas |
Perlu mengurus kod QR selamat untuk organisasi anda? Terokai Penjana Kod QR Dinamik kami untuk mencipta kod QR yang boleh diedit, boleh dijejak dan dilindungi kata laluan untuk dokumentasi dalaman dan orientasi teknikal anda.
Meningkatkan Kebolehbacaan dan Prestasi Kod QR
Halangan biasa bagi profesional IT ialah tiket sokongan “imbasan gagal”, yang dilaporkan oleh Forrester menyebabkan 23% daripada penguncian MFA. Resolusi skrin yang lemah, kontras yang tidak sesuai, atau silau boleh menghalang kamera mudah alih daripada membaca kod pendaftaran. Untuk mengurangkan titik geseran ini, ikuti amalan terbaik untuk kebolehbacaan kod QR dengan mengekalkan nisbah kontras sekurang-kurangnya 4:1.
Pastikan “zon senyap,” iaitu sempadan putih di sekeliling kod, kekal tidak terhalang oleh elemen antara muka pengguna yang lain. Apabila mencipta dokumentasi untuk pasukan anda, sasarkan saiz minimum 0.8 x 0.8 inci untuk memastikan keserasian dengan kamera telefon pintar lama. Dengan mengikuti amalan terbaik penjanaan kod QR selamat, anda boleh memastikan kod kekal tajam dan boleh diimbas walaupun dicetak dalam manual latihan.
Latihan Pengguna dan Persediaan Meja Bantuan
Kesilapan manusia kekal sebagai kelemahan ketara dalam timbunan keselamatan. Selain daripada persediaan teknikal, pentadbir mesti menyediakan pengguna untuk mengenali ancaman dan mengurus pemulihan mereka sendiri. Menyediakan pengguna dengan Kod QR untuk perisian panduan orientasi boleh mempercepatkan penggunaan dan mengurangkan beban pada meja bantuan.
- Sahkan Domain: Latih pengguna untuk mencari ikon mangga dan URL rasmi Salesforce sebelum mengimbas sebarang kod pendaftaran.
- Laporkan Anomali: Arahkan pengguna untuk menolak dan melaporkan sebarang pemberitahuan tolak MFA yang mereka terima apabila mereka tidak cuba log masuk secara aktif.
- Dokumentasikan Aliran: Gunakan kod QR statik lwn dinamik dalam bahan latihan anda untuk menyediakan pengguna dengan tutorial video terkini yang tidak memerlukan pencetakan semula apabila UI berubah.
- Standardkan Pemulihan: Buat skrip untuk meja bantuan anda untuk mengesahkan identiti sebelum “memutuskan sambungan” peranti yang hilang dalam Salesforce, yang membolehkan pengguna mengimbas kod pendaftaran baharu.
Soalan Lazim
Navigasi ke halaman butiran pengguna dalam Persediaan Salesforce dan klik “Putuskan Sambungan” di sebelah Pendaftaran Aplikasi. Tindakan ini membatalkan kunci rahsia lama dan memastikan peranti yang hilang tidak lagi boleh digunakan untuk pengesahan. Kali seterusnya pengguna log masuk, Salesforce akan meminta mereka untuk mengimbas kod QR baharu untuk mendaftarkan peranti gantian mereka.
No, users should not use a general-purpose QR code scanner to register for MFA. They must use a dedicated TOTP authenticator app, such as Salesforce Authenticator, Google Authenticator, or Microsoft Authenticator. These apps are designed to securely process the secret key and generate the time-sensitive codes required for login.
Kod QR pendaftaran adalah sementara atas sebab keselamatan. Jika pengguna menunggu terlalu lama untuk mengimbas kod, sesi akan tamat masa untuk mengelakkan kunci rahsia daripada dipintas oleh pihak yang tidak dibenarkan. Jika kod tamat tempoh, pengguna hanya perlu memuat semula halaman log masuk mereka untuk menjana kod baharu yang sah untuk pendaftaran.
