Bạn đang tìm kiếm cách an toàn nhất để triển khai Salesforce MFA bằng mã QR? Việc không bảo mật quy trình đăng ký có thể khiến tổ chức của bạn gặp phải các cuộc tấn công quishing và đánh cắp thông tin xác thực. Hướng dẫn này giải thích cách cấu hình xác thực dựa trên QR và tuân thủ các giao thức bảo mật tiêu chuẩn ngành để bảo vệ dữ liệu của bạn.
Mã QR hỗ trợ Salesforce MFA như thế nào
Salesforce sử dụng các giao thức Mật khẩu một lần dựa trên thời gian (TOTP) để cung cấp năng lượng cho xác thực đa yếu tố (MFA) của mình. Hãy coi mã QR như một cái bắt tay kỹ thuật số giữa phiên bản Salesforce của bạn và một thiết bị đáng tin cậy. Khi người dùng lần đầu tiên đăng ký ứng dụng xác thực, Salesforce sẽ tạo một mã QR duy nhất chứa khóa bí mật được chia sẻ. Bằng cách quét mã này, thiết bị di động thiết lập một liên kết an toàn để tạo mã xác minh 6 chữ số cứ sau 30 giây.
Việc triển khai quy trình này giúp giảm hiệu quả nguy cơ chiếm đoạt tài khoản tự động tới 99,91%, theo nghiên cứu của Microsoft. Tuy nhiên, tính bảo mật của phương pháp này phụ thuộc rất nhiều vào một giai đoạn đăng ký sạch. Quản trị viên phải đảm bảo rằng người dùng chỉ quét mã được tạo trong miền `login.salesforce.com` chính thức. Việc sử dụng mã QR được mã hóa cho các nền tảng xác thực đang trở thành một tiêu chuẩn cho bảo mật doanh nghiệp, vì nó đảm bảo rằng chỉ những người dùng được ủy quyền có khóa giải mã chính xác mới có thể truy cập dữ liệu đăng ký nhạy cảm.
Quản lý rủi ro bảo mật trong quy trình đăng ký
Mặc dù mã QR mang lại sự tiện lợi, nhưng chúng dễ bị tấn công bởi các mối đe dọa chuyên biệt. “Đăng ký MFA yếu là thất bại triển khai lớn nhất,” CISO của Okta đã lưu ý vào năm 2025. Để duy trì một hệ thống phòng thủ mạnh mẽ, bạn phải hiểu cách kẻ tấn công khai thác quy trình đăng ký.
Các mối đe dọa phổ biến đối với xác thực QR
- Quishing (Lừa đảo QR): Kẻ tấn công sử dụng các trang đăng nhập giả mạo để lừa người dùng quét mã QR độc hại, mã này sẽ đăng ký thiết bị của kẻ tấn công thay vì của người dùng.
- Lớp phủ độc hại: Trong môi trường vật lý, các nhãn dán gian lận được đặt chồng lên mã QR hợp pháp để chuyển hướng người dùng đến các trang web giả mạo.
- Thiết bị bị xâm nhập: Nếu phần mềm độc hại lây nhiễm vào thiết bị di động, nó có thể trích xuất khóa bí mật TOTP trực tiếp từ ứng dụng xác thực.
- Chặn (MitM): Các cuộc tấn công proxy có thể chặn giao tiếp giữa trình duyệt và ứng dụng xác thực trong quá trình thiết lập ban đầu.
Để giảm thiểu những rủi ro này, hãy tuân thủ các phương pháp hay nhất về bảo mật mã QR trong phòng thủ mạng bằng cách xác minh nguồn gốc của mọi mã. Salesforce cũng đề xuất sử dụng các phương pháp MFA chống lừa đảo nếu có thể, chẳng hạn như khóa bảo mật FIDO2, hoặc triển khai khớp số trong thông báo đẩy để đảm bảo người dùng có mặt thực tế trong quá trình đăng nhập.
Các phương pháp hay nhất để triển khai cho quản trị viên
Triển khai MFA thành công đòi hỏi sự cân bằng giữa việc thực thi chính sách nghiêm ngặt và hỗ trợ người dùng toàn diện. Theo Báo cáo điều tra vi phạm dữ liệu (DBIR) năm 2024 của Verizon, 61% các cuộc tấn công vượt qua MFA yếu hoặc cấu hình sai, khiến các lựa chọn cấu hình của bạn trở nên quan trọng. Sử dụng các chiến lược này để củng cố môi trường Salesforce của bạn:
- Bắt buộc MFA cho tất cả người dùng: Áp dụng các yêu cầu MFA thông qua phần “Xác minh danh tính” trong Thiết lập, bắt đầu với Quản trị viên hệ thống trước khi triển khai theo từng giai đoạn cho toàn bộ tổ chức.
- Cung cấp nhiều phương pháp sao lưu: Đảm bảo người dùng đăng ký các yếu tố phụ, chẳng hạn như mã dự phòng hoặc khóa bảo mật phụ, để ngăn chặn tình trạng khóa tài khoản khi thiết bị bị mất.
- Kiểm tra nhật ký đăng ký: Thường xuyên xem xét nhật ký kiểm tra của Salesforce để xác định các bất thường về địa lý hoặc các mẫu đăng ký đáng ngờ khác với hành vi người dùng bình thường.
- Thực thi các trình xác thực ràng buộc thiết bị: Sử dụng Mobile Device Management (MDM) software to ensure that authenticator apps are only installed on company-approved and secured devices.
- Xoay vòng bí mật thường xuyên: Nếu bạn nghi ngờ có sự xâm phạm, hãy sử dụng quyền “Quản lý MFA” để đặt lại bí mật người dùng và buộc đăng ký QR mới.
| Tính năng | Mã QR tĩnh | Mã QR động |
|---|---|---|
| Khả năng chỉnh sửa | Dữ liệu là vĩnh viễn sau khi được tạo | Nội dung có thể được cập nhật bất cứ lúc nào |
| Theo dõi | Không có phân tích quét nào khả dụng | Cung cấp dữ liệu quét theo thời gian thực |
| Bảo vệ | Lưu trữ thông tin cơ bản | Bao gồm mật khẩu và kiểm soát truy cập |
| Ma sát | Các mẫu dày đặc hơn có thể không quét được | URL ngắn tạo ra mã sạch hơn, nhanh hơn |
Cần quản lý mã QR an toàn cho tổ chức của bạn? Khám phá Trình tạo mã QR động của chúng tôi để tạo mã QR có thể chỉnh sửa, theo dõi và được bảo vệ bằng mật khẩu cho tài liệu nội bộ và quy trình giới thiệu kỹ thuật của bạn.
Cải thiện khả năng đọc và hiệu suất của mã QR
Một trở ngại phổ biến đối với các chuyên gia CNTT là phiếu hỗ trợ “quét không thành công”, mà Forrester báo cáo gây ra 23% khóa MFA. Độ phân giải màn hình kém, độ tương phản không phù hợp hoặc ánh sáng chói có thể ngăn camera di động đọc mã đăng ký. Để giảm bớt những điểm ma sát này, hãy làm theo các phương pháp hay nhất để đọc mã QR bằng cách duy trì tỷ lệ tương phản ít nhất 4:1.
Đảm bảo “vùng yên tĩnh”, là đường viền trắng xung quanh mã, không bị cản trở bởi các yếu tố giao diện người dùng khác. Khi tạo tài liệu cho nhóm của bạn, hãy đặt mục tiêu kích thước tối thiểu là 0,8 x 0,8 inch để đảm bảo khả năng tương thích với các camera điện thoại thông minh cũ hơn. Bằng cách làm theo các phương pháp hay nhất để tạo mã QR an toàn, bạn có thể đảm bảo các mã vẫn sắc nét và có thể quét được ngay cả khi in trong tài liệu đào tạo.
Đào tạo người dùng và Chuẩn bị cho Bộ phận Hỗ trợ
Lỗi của con người vẫn là một lỗ hổng đáng kể trong hệ thống bảo mật. Ngoài việc thiết lập kỹ thuật, quản trị viên phải chuẩn bị cho người dùng nhận biết các mối đe dọa và tự quản lý việc khôi phục của họ. Cung cấp cho người dùng Mã QR cho phần mềm hướng dẫn giới thiệu có thể tăng tốc độ chấp nhận và giảm gánh nặng cho bộ phận hỗ trợ.
- Xác minh miền: Đào tạo người dùng tìm biểu tượng ổ khóa và URL Salesforce chính thức trước khi quét bất kỳ mã đăng ký nào.
- Báo cáo các bất thường: Hướng dẫn người dùng từ chối và báo cáo bất kỳ thông báo đẩy MFA nào họ nhận được khi họ không chủ động cố gắng đăng nhập.
- Tài liệu hóa quy trình: Sử dụng mã QR tĩnh và động trong tài liệu đào tạo của bạn để cung cấp cho người dùng các hướng dẫn video cập nhật không yêu cầu in lại khi giao diện người dùng thay đổi.
- Tiêu chuẩn hóa việc khôi phục: Tạo các kịch bản cho bộ phận hỗ trợ của bạn để xác minh danh tính trước khi “ngắt kết nối” một thiết bị bị mất trong Salesforce, điều này cho phép người dùng quét mã đăng ký mới.
Câu hỏi thường gặp
Điều hướng đến trang chi tiết của người dùng trong Thiết lập Salesforce và nhấp vào “Ngắt kết nối” bên cạnh Đăng ký ứng dụng. Hành động này làm mất hiệu lực khóa bí mật cũ và đảm bảo thiết bị bị mất không còn có thể được sử dụng để xác thực. Lần tới khi người dùng đăng nhập, Salesforce sẽ nhắc họ quét mã QR mới để đăng ký thiết bị thay thế của họ.
No, users should not use a general-purpose QR code scanner to register for MFA. They must use a dedicated TOTP authenticator app, such as Salesforce Authenticator, Google Authenticator, or Microsoft Authenticator. These apps are designed to securely process the secret key and generate the time-sensitive codes required for login.
Mã QR đăng ký là tạm thời vì lý do bảo mật. Nếu người dùng chờ quá lâu để quét mã, phiên sẽ hết thời gian để ngăn khóa bí mật bị chặn bởi một bên trái phép. Nếu mã hết hạn, người dùng chỉ cần làm mới trang đăng nhập của họ để tạo một mã mới, hợp lệ để đăng ký.
