Ищете самый безопасный способ внедрения MFA Salesforce с использованием QR-кодов? Неспособность защитить процесс регистрации может подвергнуть вашу организацию фишинговым атакам с использованием QR-кодов (квишинг) и краже учетных данных. Это руководство объясняет, как настроить аутентификацию на основе QR-кодов и следовать отраслевым стандартам безопасности для защиты ваших данных.
Как QR-коды облегчают MFA Salesforce
Salesforce использует протоколы одноразовых паролей на основе времени (TOTP) для обеспечения своей многофакторной аутентификации (MFA). Представьте QR-код как цифровое рукопожатие между вашим экземпляром Salesforce и доверенным устройством. Когда пользователь впервые регистрирует приложение-аутентификатор, Salesforce генерирует уникальный QR-код, содержащий общий секретный ключ. Сканируя этот код, мобильное устройство устанавливает безопасное соединение для генерации 6-значных кодов подтверждения каждые 30 секунд.
Внедрение этого процесса эффективно снижает риск автоматического захвата учетных записей на 99,91%, согласно исследованиям Microsoft. Однако безопасность этого метода сильно зависит от чистоты фазы регистрации. Администраторы должны убедиться, что пользователи сканируют коды, сгенерированные только в официальном домене `login.salesforce.com`. Использование зашифрованных QR-кодов для платформ аутентификации становится стандартом для корпоративной безопасности, поскольку это гарантирует, что только авторизованные пользователи с правильным ключом дешифрования могут получить доступ к конфиденциальным данным регистрации.
Управление рисками безопасности в процессе регистрации
Хотя QR-коды предлагают удобство, они подвержены специализированным угрозам. “Слабая регистрация MFA — это самая большая ошибка при развертывании”, — отметил CISO Okta в 2025 году. Чтобы поддерживать надежную защиту, вы должны понимать, как злоумышленники используют процесс регистрации.
Общие угрозы для QR-аутентификации
- Квишинг (QR-фишинг): Злоумышленники используют поддельные страницы входа, чтобы обманом заставить пользователей сканировать вредоносный QR-код, который регистрирует устройство злоумышленника вместо устройства пользователя.
- Вредоносные накладки: В физической среде мошеннические наклейки размещаются поверх легитимных QR-кодов, чтобы перенаправить пользователей на поддельные сайты.
- Компрометация устройства: Если вредоносное ПО заражает мобильное устройство, оно потенциально может извлечь секретный ключ TOTP непосредственно из приложения-аутентификатора.
- Перехват (MitM): Прокси-атаки могут перехватывать связь между браузером и приложением-аутентификатором во время первоначальной настройки.
Чтобы снизить эти риски, следуйте лучшим практикам безопасности QR-кодов в киберзащите проверяя источник каждого кода. Salesforce также предлагает использовать, где это возможно, устойчивые к фишингу методы MFA, такие как ключи безопасности FIDO2, или внедрять сопоставление чисел в push-уведомлениях, чтобы убедиться, что пользователь физически присутствует во время попытки входа.
Лучшие практики для реализации администратором
Успешное развертывание MFA требует баланса между строгим соблюдением политики и всесторонней поддержкой пользователей. Согласно отчету Verizon DBIR за 2024 год, 61% атак обходят слабую или неправильно настроенную MFA, что делает ваш выбор конфигурации критически важным. Используйте эти стратегии для усиления вашей среды Salesforce:
- Обязательное использование MFA для всех пользователей: Применяйте требования MFA через раздел “Проверка личности” в настройках, начиная с системных администраторов, прежде чем поэтапно внедрять их для всей организации.
- Предоставьте несколько методов резервного копирования: Убедитесь, что пользователи регистрируют вторичные факторы, такие как резервные коды или вторичные ключи безопасности, чтобы предотвратить блокировки при потере устройств.
- Аудит журналов регистрации: Регулярно просматривайте журналы аудита Salesforce для выявления географических аномалий или подозрительных шаблонов регистрации, которые отклоняются от нормального поведения пользователя.
- Принудительное использование аутентификаторов, привязанных к устройству: Использовать Mobile Device Management (MDM) software to ensure that authenticator apps are only installed on company-approved and secured devices.
- Регулярно меняйте секреты: Если вы подозреваете компрометацию, используйте разрешение “Управление MFA” для сброса секретов пользователя и принудительной новой регистрации QR-кода.
| Функция | Статический QR-код | Динамический QR-код |
|---|---|---|
| Редактируемость | Данные являются постоянными после создания | Контент можно обновлять в любое время |
| Отслеживание | Аналитика сканирований недоступна | Предоставляет данные сканирования в реальном времени |
| Безопасность | Базовое хранение информации | Включает пароль и контроль доступа |
| Трение | Более плотные узоры могут не сканироваться | Короткие URL-адреса создают более чистые и быстрые коды |
Нужно управлять безопасными QR-кодами для вашей организации? Изучите наш Генератор динамических QR-кодов для создания редактируемых, отслеживаемых и защищенных паролем QR-кодов для вашей внутренней документации и технического онбординга.
Улучшение читаемости и производительности QR-кодов
Распространенной проблемой для ИТ-специалистов является заявка в службу поддержки о “неудачном сканировании”, которая, по данным Forrester, является причиной 23% блокировок MFA. Низкое разрешение экрана, неправильный контраст или блики могут помешать мобильной камере считать код регистрации. Чтобы уменьшить эти точки трения, следуйте лучшим практикам читаемости QR-кодов поддерживая контрастность не менее 4:1.
Убедитесь, что “тихая зона”, то есть белая рамка вокруг кода, остается свободной от других элементов пользовательского интерфейса. При создании документации для вашей команды стремитесь к минимальному размеру 0,8 x 0,8 дюйма, чтобы обеспечить совместимость со старыми камерами смартфонов. Следуя этим рекомендациям лучшие практики безопасной генерации QR-кодов, вы можете гарантировать, что коды останутся четкими и сканируемыми даже при печати в учебных пособиях.
Обучение пользователей и подготовка службы поддержки
Человеческий фактор остается значительной уязвимостью в стеке безопасности. Помимо технической настройки, администраторы должны подготовить пользователей к распознаванию угроз и управлению собственным восстановлением. Предоставление пользователям QR-коды для программного обеспечения руководств по адаптации может ускорить внедрение и снизить нагрузку на службу поддержки.
- Проверьте домен: Обучите пользователей искать значок замка и официальный URL-адрес Salesforce перед сканированием любого регистрационного кода.
- Сообщайте об аномалиях: Проинструктируйте пользователей отклонять и сообщать о любых push-уведомлениях MFA, которые они получают, когда они не пытаются активно войти в систему.
- Документируйте процесс: Использовать статическими и динамическими QR-кодами в ваших учебных материалах, чтобы предоставить пользователям актуальные видеоуроки, которые не требуют перепечатки при изменении пользовательского интерфейса.
- Стандартизируйте восстановление: Создайте скрипты для вашей службы поддержки, чтобы проверять личность перед “отключением” утерянного устройства в Salesforce, что позволяет пользователю сканировать новый код регистрации.
Часто задаваемые вопросы
Перейдите на страницу сведений о пользователе в Salesforce Setup и нажмите “Отключить” рядом с App Registration. Это действие аннулирует старый секретный ключ и гарантирует, что утерянное устройство больше не может использоваться для аутентификации. В следующий раз, когда пользователь войдет в систему, Salesforce предложит ему отсканировать новый QR-код для регистрации своего заменяющего устройства.
No, users should not use a general-purpose QR code scanner to register for MFA. They must use a dedicated TOTP authenticator app, such as Salesforce Authenticator, Google Authenticator, or Microsoft Authenticator. These apps are designed to securely process the secret key and generate the time-sensitive codes required for login.
QR-коды для регистрации являются временными по соображениям безопасности. Если пользователь слишком долго ждет сканирования кода, сеанс истекает, чтобы предотвратить перехват секретного ключа неавторизованной стороной. Если срок действия кода истек, пользователю просто нужно обновить страницу входа, чтобы сгенерировать новый, действительный код для регистрации.
