Шукаєте найбезпечніший спосіб впровадження Salesforce MFA за допомогою QR-кодів? Нездатність захистити процес реєстрації може наразити вашу організацію на фішингові атаки з використанням QR-кодів (квішинг) та крадіжку облікових даних. Цей посібник пояснює, як налаштувати автентифікацію на основі QR-кодів та дотримуватися галузевих стандартів безпеки для захисту ваших даних.
Як QR-коди полегшують Salesforce MFA
Salesforce використовує протоколи одноразових паролів на основі часу (TOTP) для забезпечення своєї багатофакторної автентифікації (MFA). Уявіть QR-код як цифрове рукостискання між вашим екземпляром Salesforce та довіреним пристроєм. Коли користувач вперше реєструє програму-автентифікатор, Salesforce генерує унікальний QR-код, що містить спільний секретний ключ. Скануючи цей код, мобільний пристрій встановлює безпечне з'єднання для генерації 6-значних кодів перевірки кожні 30 секунд.
Впровадження цього потоку ефективно знижує ризик автоматизованого захоплення облікових записів на 99,9%, згідно з дослідженнями Microsoft. Однак безпека цього методу значною мірою залежить від чистої фази реєстрації. Адміністратори повинні переконатися, що користувачі сканують коди, згенеровані лише в офіційному домені `login.salesforce.com`. Використання зашифрованих QR-кодів для платформ автентифікації стає стандартом для корпоративної безпеки, оскільки це гарантує, що лише авторизовані користувачі з правильним ключем дешифрування можуть отримати доступ до конфіденційних даних реєстрації.
Управління ризиками безпеки в процесі реєстрації
Хоча QR-коди пропонують зручність, вони вразливі до спеціалізованих загроз. “Слабка реєстрація MFA є найбільшою невдачею розгортання”, — зазначив CISO Okta у 2025 році. Щоб підтримувати надійний захист, ви повинні розуміти, як зловмисники експлуатують процес реєстрації.
Поширені загрози для QR-автентифікації
- Квішинг (QR-фішинг): Зловмисники використовують фальшиві сторінки входу, щоб обманом змусити користувачів сканувати шкідливий QR-код, який реєструє пристрій зловмисника замість пристрою користувача.
- Шкідливі накладки: У фізичному середовищі шахрайські наклейки розміщуються поверх легітимних QR-кодів, щоб перенаправити користувачів на підроблені сайти.
- Компрометація пристрою: Якщо шкідливе програмне забезпечення заражає мобільний пристрій, воно потенційно може витягти секретний ключ TOTP безпосередньо з програми-автентифікатора.
- Перехоплення (MitM): Проксі-атаки можуть перехоплювати зв'язок між браузером і програмою-автентифікатором під час початкового налаштування.
Щоб зменшити ці ризики, дотримуйтесь найкращих практик безпеки QR-кодів у кіберзахисті шляхом перевірки джерела кожного коду. Salesforce також пропонує використовувати стійкі до фішингу методи MFA, де це можливо, наприклад, ключі безпеки FIDO2, або впроваджувати зіставлення чисел у push-сповіщеннях, щоб переконатися, що користувач фізично присутній під час спроби входу.
Найкращі практики для впровадження адміністратором
Успішне розгортання MFA вимагає балансу суворого дотримання політики та всебічної підтримки користувачів. Згідно з Verizon DBIR 2024 року, 61% атак обходять слабку або неправильно налаштовану MFA, що робить ваш вибір конфігурації критично важливим. Використовуйте ці стратегії для посилення вашого середовища Salesforce:
- Обов'язкове використання MFA для всіх користувачів: Застосовуйте вимоги MFA через розділ “Перевірка особи” в налаштуваннях, починаючи з системних адміністраторів, перш ніж поетапно розгортати для всієї організації.
- Надайте кілька методів резервного копіювання: Переконайтеся, що користувачі реєструють вторинні фактори, такі як резервні коди або вторинні ключі безпеки, щоб запобігти блокуванням у разі втрати пристроїв.
- Перевіряйте журнали реєстрації: Регулярно переглядайте журнали аудиту Salesforce, щоб виявляти географічні аномалії або підозрілі шаблони реєстрації, які відхиляються від нормальної поведінки користувачів.
- Застосовуйте автентифікатори, прив'язані до пристрою: Використання Mobile Device Management (MDM) software to ensure that authenticator apps are only installed on company-approved and secured devices.
- Регулярно змінюйте секрети: Якщо ви підозрюєте компрометацію, використовуйте дозвіл “Керування MFA”, щоб скинути секрети користувачів і примусово виконати нову реєстрацію QR.
| Функція | Статичний QR-код | Динамічний QR-код |
|---|---|---|
| Можливість редагування | Дані є постійними після створення | Вміст можна оновлювати в будь-який час |
| Відстеження | Аналітика сканувань недоступна | Надає дані сканування в реальному часі |
| Безпека | Базове зберігання інформації | Включає пароль та контроль доступу |
| Тертя | Щільніші візерунки можуть не скануватися | Короткі URL-адреси створюють чистіші, швидші коди |
Потрібно керувати безпечними QR-кодами для вашої організації? Дослідіть наш Генератор динамічних QR-кодів для створення редагованих, відстежуваних та захищених паролем QR-кодів для вашої внутрішньої документації та технічного онбордингу.
Покращення читабельності та продуктивності QR-кодів
Поширеною перешкодою для ІТ-фахівців є звернення до служби підтримки щодо “невдалого сканування”, яке, за даними Forrester, спричиняє 23% блокувань MFA. Низька роздільна здатність екрана, неправильний контраст або відблиски можуть перешкоджати мобільній камері зчитувати код реєстрації. Щоб зменшити ці точки тертя, дотримуйтесь найкращих практик для читабельності QR-кодів підтримуючи співвідношення контрастності щонайменше 4:1.
Переконайтеся, що “тиха зона”, яка є білою рамкою навколо коду, залишається вільною від інших елементів інтерфейсу користувача. Створюючи документацію для вашої команди, прагніть до мінімального розміру 0,8 x 0,8 дюйма, щоб забезпечити сумісність зі старими камерами смартфонів. Дотримуючись безпечні найкращі практики генерації QR-кодів, ви можете гарантувати, що коди залишаються чіткими та придатними для сканування навіть при друку в навчальних посібниках.
Навчання користувачів та підготовка служби підтримки
Людська помилка залишається значною вразливістю в системі безпеки. Окрім технічного налаштування, адміністратори повинні підготувати користувачів до розпізнавання загроз та управління власним відновленням. Надання користувачам QR-коди для програмного забезпечення посібників з адаптації може прискорити впровадження та зменшити навантаження на службу підтримки.
- Перевірте домен: Навчіть користувачів шукати значок замка та офіційну URL-адресу Salesforce перед скануванням будь-якого реєстраційного коду.
- Повідомляйте про аномалії: Проінструктуйте користувачів відхиляти та повідомляти про будь-які push-сповіщення MFA, які вони отримують, коли вони не намагаються активно увійти.
- Документуйте потік: Використання статичними та динамічними QR-кодами у ваших навчальних матеріалах, щоб надавати користувачам актуальні відеоуроки, які не потребують повторного друку при зміні інтерфейсу.
- Стандартизуйте відновлення: Створіть скрипти для вашої служби підтримки, щоб перевіряти особу перед “відключенням” втраченого пристрою в Salesforce, що дозволяє користувачеві сканувати новий код реєстрації.
Поширені запитання
Перейдіть на сторінку деталей користувача в Salesforce Setup і натисніть “Відключити” поруч із реєстрацією програми. Ця дія анулює старий секретний ключ і гарантує, що втрачений пристрій більше не може використовуватися для автентифікації. Наступного разу, коли користувач увійде, Salesforce запропонує йому відсканувати новий QR-код для реєстрації свого пристрою-замінника.
No, users should not use a general-purpose QR code scanner to register for MFA. They must use a dedicated TOTP authenticator app, such as Salesforce Authenticator, Google Authenticator, or Microsoft Authenticator. These apps are designed to securely process the secret key and generate the time-sensitive codes required for login.
QR-коди для реєстрації є тимчасовими з міркувань безпеки. Якщо користувач занадто довго чекає, щоб відсканувати код, сесія закінчується, щоб запобігти перехопленню секретного ключа несанкціонованою стороною. Якщо термін дії коду закінчився, користувачеві просто потрібно оновити сторінку входу, щоб згенерувати новий, дійсний код для реєстрації.
