Salesforce MFA'yı QR kodları kullanarak uygulamanın en güvenli yolunu mu arıyorsunuz? Kayıt sürecini güvence altına alamamak, kuruluşunuzu kimlik avı (quishing) saldırılarına ve kimlik bilgisi hırsızlığına maruz bırakabilir. Bu kılavuz, QR tabanlı kimlik doğrulamanın nasıl yapılandırılacağını ve verilerinizi korumak için endüstri standardı güvenlik protokollerinin nasıl takip edileceğini açıklamaktadır.
QR Kodları Salesforce MFA'yı Nasıl Kolaylaştırır?
Salesforce, çok faktörlü kimlik doğrulamasını (MFA) desteklemek için Zamana Dayalı Tek Kullanımlık Parola (TOTP) protokollerini kullanır. QR kodunu, Salesforce örneğiniz ile güvenilir bir cihaz arasında dijital bir el sıkışma olarak düşünebilirsiniz. Bir kullanıcı bir kimlik doğrulayıcı uygulamasını ilk kez kaydettiğinde, Salesforce paylaşılan bir gizli anahtar içeren benzersiz bir QR kodu oluşturur. Bu kodu tarayarak, mobil cihaz her 30 saniyede bir 6 haneli doğrulama kodları oluşturmak için güvenli bir bağlantı kurar.
Microsoft araştırmasına göre, bu akışı uygulamak, otomatik hesap ele geçirme riskini ,9 oranında etkili bir şekilde azaltır. Ancak, bu yöntemin güvenliği büyük ölçüde temiz bir kayıt aşamasına bağlıdır. Yöneticiler, kullanıcıların yalnızca resmi `login.salesforce.com` alan adı içinde oluşturulan kodları taradığından emin olmalıdır. Kullanmak kimlik doğrulama platformları için şifreli QR kodları kurumsal güvenlik için bir standart haline gelmektedir, çünkü yalnızca doğru şifre çözme anahtarına sahip yetkili kullanıcıların hassas kayıt verilerine erişebilmesini sağlar.
Kayıt Akışındaki Güvenlik Risklerini Yönetme
QR kodları kolaylık sunsa da, özel tehditlere karşı hassastırlar. Okta CISO'su 2025“te ”Zayıf MFA kaydı en büyük dağıtım hatasıdır" diye belirtti. Sağlam bir savunma sürdürmek için, saldırganların kayıt sürecini nasıl istismar ettiğini anlamalısınız.
QR Kimlik Doğrulamasına Yönelik Yaygın Tehditler
- Quishing (QR Kimlik Avı): Saldırganlar, kullanıcıları, kullanıcının cihazı yerine saldırganın cihazını kaydeden kötü amaçlı bir QR kodunu taramaları için kandırmak amacıyla sahte giriş sayfaları kullanır.
- Kötü Amaçlı Kaplamalar: Fiziksel ortamlarda, kullanıcıları sahte sitelere yönlendirmek için meşru QR kodlarının üzerine sahte etiketler yerleştirilir.
- Cihazın Ele Geçirilmesi: Kötü amaçlı yazılım bir mobil cihaza bulaşırsa, TOTP gizli anahtarını doğrudan kimlik doğrulayıcı uygulamasından potansiyel olarak çıkarabilir.
- Kesme (MitM): Vekil sunucu saldırıları, ilk kurulum sırasında tarayıcı ile kimlik doğrulayıcı uygulama arasındaki iletişimi kesebilir.
Bu riskleri azaltmak için şunları uygulayın siber savunmada QR kodu güvenliği için en iyi uygulamaları her kodun kaynağını doğrulayarak. Salesforce ayrıca, mümkün olduğunda FIDO2 güvenlik anahtarları gibi kimlik avına dayanıklı MFA yöntemleri kullanılmasını veya oturum açma girişimi sırasında kullanıcının fiziksel olarak mevcut olduğundan emin olmak için anlık bildirimlerde sayı eşleştirme uygulanmasını önermektedir.
Yönetici Uygulaması için En İyi Uygulamalar
Başarılı MFA dağıtımı, katı politika uygulamasının ve kapsamlı kullanıcı desteğinin dengesini gerektirir. 2024 Verizon DBIR'a göre, saldırıların 'i zayıf veya yanlış yapılandırılmış MFA'yı atlatmaktadır, bu da yapılandırma seçimlerinizi kritik hale getirmektedir. Salesforce ortamınızı güçlendirmek için bu stratejileri kullanın:
- Tüm Kullanıcılar İçin MFA'yı Zorunlu Kılın: Kurulum'daki “Kimlik Doğrulama” bölümü aracılığıyla MFA gereksinimlerini uygulayın, kademeli olarak daha geniş bir kuruluşa yayılmadan önce Sistem Yöneticileri ile başlayın.
- Birden Fazla Yedekleme Yöntemi Sağlayın: Cihazlar kaybolduğunda kilitlenmeleri önlemek için kullanıcıların yedek kodlar veya ikincil güvenlik anahtarları gibi ikincil faktörleri kaydettirmesini sağlayın.
- Kayıt Günlüklerini Denetleyin: Coğrafi anormallikleri veya normal kullanıcı davranışından sapan şüpheli kayıt modellerini belirlemek için Salesforce denetim günlüklerini düzenli olarak inceleyin.
- Cihaza Bağlı Kimlik Doğrulayıcıları Zorunlu Kılın: Kullanmak Mobile Device Management (MDM) software to ensure that authenticator apps are only installed on company-approved and secured devices.
- Sırları Düzenli Olarak Değiştirin: Bir ihlalden şüpheleniyorsanız, kullanıcı sırlarını sıfırlamak ve yeni bir QR kaydı zorlamak için “MFA'yı Yönet” iznini kullanın.
| Özellik | Statik QR Kodu | Dinamik QR Kodu |
|---|---|---|
| Düzenlenebilirlik | Veri bir kez oluşturulduğunda kalıcıdır | İçerik her zaman güncellenebilir |
| Takip | Tarama analizi mevcut değil | Gerçek zamanlı tarama verileri sağlar |
| Güvenlik | Temel bilgi depolama | Parola ve erişim kontrollerini içerir |
| Sürtünme | Daha yoğun desenler taranamayabilir | Kısa URL'ler daha temiz, daha hızlı kodlar oluşturur |
Kuruluşunuz için güvenli QR kodlarını yönetmeniz mi gerekiyor? Dinamik QR Kod Oluşturucumuzu keşfedin dahili belgeleriniz ve teknik oryantasyonunuz için düzenlenebilir, izlenebilir ve parola korumalı QR kodları oluşturmak için.
QR Kodu Okunabilirliğini ve Performansını İyileştirme
BT profesyonelleri için yaygın bir engel, Forrester'ın MFA kilitlenmelerinin “üne neden olduğunu bildirdiği ”başarısız tarama" destek biletidir. Düşük ekran çözünürlüğü, yanlış kontrast veya parlama, bir mobil kameranın kayıt kodunu okumasını engelleyebilir. Bu sürtünme noktalarını azaltmak için, şunları uygulayın QR kodu okunabilirliği için en iyi uygulamaları en az 4:1 kontrast oranını koruyarak.
Kodun etrafındaki beyaz kenarlık olan “sessiz bölgenin” diğer kullanıcı arayüzü öğeleri tarafından engellenmediğinden emin olun. Ekibiniz için belge oluştururken, eski akıllı telefon kameralarıyla uyumluluğu sağlamak için minimum 0,8 x 0,8 inç boyutunu hedefleyin. Şunları uygulayarak güvenli QR kodu oluşturma en iyi uygulamaları, eğitim kılavuzlarında basıldığında bile kodların keskin ve taranabilir kalmasını sağlayabilirsiniz.
Kullanıcı Eğitimi ve Yardım Masası Hazırlığı
İnsan hatası, güvenlik yığınında önemli bir güvenlik açığı olmaya devam etmektedir. Teknik kurulumun ötesinde, yöneticiler kullanıcıları tehditleri tanımaya ve kendi kurtarmalarını yönetmeye hazırlamalıdır. Kullanıcılara Yazılım için QR kodları başlangıç kılavuzları sunmak, benimsemeyi hızlandırabilir ve yardım masası üzerindeki yükü azaltabilir.
- Alan Adını Doğrulayın: Kullanıcılara herhangi bir kayıt kodunu taramadan önce kilit simgesini ve resmi Salesforce URL'sini aramalarını öğretin.
- Anormallikleri Bildirin: Kullanıcılara, aktif olarak oturum açmaya çalışmadıkları zaman aldıkları herhangi bir MFA anlık bildirimini reddetmelerini ve bildirmelerini söyleyin.
- Akışı Belgeleyin: Kullanmak statik ve dinamik QR kodları eğitim materyallerinizde, kullanıcı arayüzü değiştiğinde yeniden basım gerektirmeyen güncel video eğitimleri sunmak için.
- Kurtarmayı Standartlaştırın: Yardım masanız için, Salesforce'ta kayıp bir cihazın “bağlantısını kesmeden” önce kimliği doğrulamak üzere komut dosyaları oluşturun; bu, kullanıcının yeni bir kayıt kodunu taramasına olanak tanır.
SSS
Salesforce Kurulumu'nda kullanıcının ayrıntılar sayfasına gidin ve Uygulama Kaydı'nın yanındaki “Bağlantıyı Kes”e tıklayın. Bu eylem, eski gizli anahtarı geçersiz kılar ve kayıp cihazın artık kimlik doğrulama için kullanılamamasını sağlar. Kullanıcı bir sonraki oturum açışında, Salesforce onlara yedek cihazlarını kaydetmek için yeni bir QR kodu taramalarını ister.
No, users should not use a general-purpose QR code scanner to register for MFA. They must use a dedicated TOTP authenticator app, such as Salesforce Authenticator, Google Authenticator, or Microsoft Authenticator. These apps are designed to securely process the secret key and generate the time-sensitive codes required for login.
Kayıt QR kodları güvenlik nedenleriyle geçicidir. Bir kullanıcı kodu taramak için çok uzun süre beklerse, gizli anahtarın yetkisiz bir tarafça ele geçirilmesini önlemek için oturum zaman aşımına uğrar. Bir kodun süresi dolarsa, kullanıcının kayıt için yeni, geçerli bir kod oluşturmak üzere oturum açma sayfasını yenilemesi yeterlidir.
