Ali iščete najvarnejši način za implementacijo Salesforce MFA z uporabo QR kod? Če ne zavarujete postopka vpisa, lahko svojo organizacijo izpostavite napadom quishinga in kraji poverilnic. Ta vodnik pojasnjuje, kako konfigurirati avtentikacijo na podlagi QR kod in slediti industrijskim varnostnim protokolom za zaščito vaših podatkov.
Kako QR kode omogočajo Salesforce MFA
Salesforce uporablja protokole časovno omejenih enkratnih gesel (TOTP) za poganjanje svoje večfaktorske avtentikacije (MFA). QR kodo si predstavljajte kot digitalni stisk roke med vašo instanco Salesforce in zaupanja vredno napravo. Ko uporabnik prvič registrira aplikacijo za avtentikacijo, Salesforce ustvari edinstveno QR kodo, ki vsebuje skupni skrivni ključ. S skeniranjem te kode mobilna naprava vzpostavi varno povezavo za generiranje 6-mestnih potrditvenih kod vsakih 30 sekund.
Implementacija tega poteka učinkovito zmanjša tveganje avtomatiziranih prevzemov računov za 99,9 %, glede na raziskavo Microsofta. Vendar pa varnost te metode močno temelji na čisti fazi vpisa. Skrbniki morajo zagotoviti, da uporabniki skenirajo kode, ustvarjene samo znotraj uradne domene `login.salesforce.com`. Uporaba šifriranih QR kod za avtentikacijske platforme postaja standard za varnost podjetij, saj zagotavlja, da lahko samo pooblaščeni uporabniki s pravilnim ključem za dešifriranje dostopajo do občutljivih podatkov o vpisu.
Upravljanje varnostnih tveganj v postopku vpisa
Medtem ko QR kode ponujajo udobje, so dovzetne za specializirane grožnje. “Šibek vpis v MFA je največja napaka pri uvedbi,” je leta 2025 opozoril CISO podjetja Okta. Za ohranjanje robustne obrambe morate razumeti, kako napadalci izkoriščajo postopek vpisa.
Pogoste grožnje avtentikaciji z QR kodami
- Quishing (QR Phishing): Napadalci uporabljajo lažne prijavne strani, da bi uporabnike prevarali, da skenirajo zlonamerno QR kodo, ki registrira napravo napadalca namesto uporabnikove.
- Zlonamerni prekrivni elementi: V fizičnih okoljih se lažne nalepke namestijo čez legitimne QR kode, da se uporabnike preusmeri na ponarejene strani.
- Kompromitacija naprave: Če zlonamerna programska oprema okuži mobilno napravo, lahko potencialno izvleče skrivni ključ TOTP neposredno iz aplikacije za avtentikacijo.
- Prestrezanje (MitM): Napadi s posrednikom lahko prestrežejo komunikacijo med brskalnikom in aplikacijo za preverjanje pristnosti med začetno nastavitvijo.
Za zmanjšanje teh tveganj upoštevajte najboljše prakse za varnost QR kod v kibernetski obrambi s preverjanjem vira vsake kode. Salesforce prav tako predlaga uporabo metod MFA, odpornih proti lažnemu predstavljanju, kjer je to mogoče, kot so varnostni ključi FIDO2, ali implementacijo ujemanja številk v potisnih obvestilih, da se zagotovi fizična prisotnost uporabnika med poskusom prijave.
Najboljše prakse za implementacijo s strani skrbnika
Uspešna uvedba MFA zahteva ravnotežje med strogim uveljavljanjem pravilnikov in celovito podporo uporabnikom. Po podatkih poročila Verizon DBIR 2024 61 % napadov obide šibko ali napačno konfigurirano MFA, zato so vaše izbire konfiguracije ključne. Uporabite te strategije za utrditev vašega okolja Salesforce:
- Obvezna MFA za vse uporabnike: Uporabite zahteve za MFA prek razdelka “Preverjanje identitete” v nastavitvah, začenši s sistemskimi skrbniki, preden se postopoma uvede v širšo organizacijo.
- Zagotovite več rezervnih metod: Zagotovite, da uporabniki registrirajo sekundarne dejavnike, kot so rezervne kode ali sekundarni varnostni ključi, da preprečite zaklepanje ob izgubi naprav.
- Revizija dnevnikov vpisa: Redno pregledujte revizijske dnevnike Salesforce, da prepoznate geografske anomalije ali sumljive vzorce vpisa, ki odstopajo od običajnega vedenja uporabnikov.
- Uveljavite avtentikatorje, vezane na napravo: Uporabite Mobile Device Management (MDM) software to ensure that authenticator apps are only installed on company-approved and secured devices.
- Redno menjajte skrivnosti: Če sumite na kompromitacijo, uporabite dovoljenje “Upravljanje MFA” za ponastavitev uporabniških skrivnosti in prisilno nov vpis QR.
| Funkcija | Statična koda QR | Dinamična QR koda |
|---|---|---|
| Možnost urejanja | Podatki so trajni, ko so ustvarjeni | Vsebino je mogoče kadar koli posodobiti |
| Sledenje | Analitika skeniranja ni na voljo | Zagotavlja podatke o skeniranju v realnem času |
| Varnost | Osnovno shranjevanje informacij | Vključuje geslo in nadzor dostopa |
| Trenje | Gostejši vzorci se morda ne bodo skenirali | Kratki URL-ji ustvarjajo čistejše, hitrejše kode |
Morate upravljati varne QR kode za vašo organizacijo? Raziščite naš dinamični generator QR kod za ustvarjanje QR kod, ki jih je mogoče urejati, slediti in so zaščitene z geslom, za vašo interno dokumentacijo in tehnično uvajanje.
Izboljšanje berljivosti in delovanja QR kod
Pogosta ovira za IT strokovnjake je podpora za “neuspešno skeniranje”, za katero Forrester poroča, da povzroča 23 % zaklepanj MFA. Slaba ločljivost zaslona, neustrezen kontrast ali bleščanje lahko preprečijo mobilni kameri, da prebere vpisno kodo. Za zmanjšanje teh težav sledite najboljšim praksam za berljivost QR kod z ohranjanjem vsaj 4:1 kontrastnega razmerja.
Zagotovite, da “tiha cona”, ki je beli rob okoli kode, ostane neovirana z drugimi elementi uporabniškega vmesnika. Pri ustvarjanju dokumentacije za svojo ekipo si prizadevajte za minimalno velikost 0,8 x 0,8 palca, da zagotovite združljivost s starejšimi kamerami pametnih telefonov. Z upoštevanjem varno generiranje QR kode najboljše prakse, lahko zagotovite, da kode ostanejo ostre in berljive tudi, ko so natisnjene v priročnikih za usposabljanje.
Usposabljanje uporabnikov in priprava službe za pomoč uporabnikom
Človeška napaka ostaja pomembna ranljivost v varnostnem sistemu. Poleg tehnične nastavitve morajo skrbniki pripraviti uporabnike, da prepoznajo grožnje in sami upravljajo svoje okrevanje. Zagotavljanje uporabnikom z QR kode za programsko opremo vodniki za uvajanje lahko pospešijo sprejetje in zmanjšajo obremenitev službe za pomoč uporabnikom.
- Preverite domeno: Usposobite uporabnike, da poiščejo ikono ključavnice in uradni URL Salesforce, preden skenirajo katero koli registracijsko kodo.
- Poročajte o nepravilnostih: Poučite uporabnike, naj zavrnejo in prijavijo vsa potisna obvestila MFA, ki jih prejmejo, ko se ne poskušajo aktivno prijaviti.
- Dokumentirajte potek: Uporabite statičnimi in dinamičnimi kodami QR v vaših gradivih za usposabljanje, da uporabnikom zagotovite posodobljene video vadnice, ki jih ni treba ponovno tiskati, ko se uporabniški vmesnik spremeni.
- Standardizirajte obnovitev: Ustvarite skripte za vašo službo za pomoč uporabnikom za preverjanje identitete, preden “odklopite” izgubljeno napravo v Salesforceu, kar uporabniku omogoča skeniranje nove kode za vpis.
Pogosta vprašanja
Pojdite na stran s podrobnostmi uporabnika v nastavitvah Salesforce in kliknite “Odklopi” poleg registracije aplikacije. To dejanje razveljavi stari skrivni ključ in zagotovi, da izgubljene naprave ni več mogoče uporabljati za avtentikacijo. Ko se uporabnik naslednjič prijavi, ga Salesforce pozove, naj skenira novo QR kodo za registracijo nadomestne naprave.
No, users should not use a general-purpose QR code scanner to register for MFA. They must use a dedicated TOTP authenticator app, such as Salesforce Authenticator, Google Authenticator, or Microsoft Authenticator. These apps are designed to securely process the secret key and generate the time-sensitive codes required for login.
QR kode za vpis so začasne iz varnostnih razlogov. Če uporabnik predolgo čaka s skeniranjem kode, se seja izteče, da se prepreči prestrezanje skrivnega ključa s strani nepooblaščene osebe. Če koda poteče, mora uporabnik preprosto osvežiti svojo prijavno stran, da ustvari novo, veljavno kodo za registracijo.
