breadcrumbDescription
Konfigurer de MFA-bekræftelsesmetoder, der er tilgængelige for brugere for Salesforce-organisationer
Salesforce understøtter flere MFA-bekræftelsesmetoder, så brugere kan bekræfte deres identitet under login eller enhedsaktivering.
Kontrolnavn
Konfiguration af bekræftelsesmetoder med flere faktorer (MFA)
Anbefalet konfiguration
Aktiver phishing-resistente MFA-bekræftelsesmetoder, prioriter indbyggede godkendere, hardware-sikkerhedsnøgler og certifikatbaseret godkendelse.
Kontroller oversigt
Salesforce understøtter flere MFA-bekræftelsesmetoder for at tillade brugere at bekræfte deres identitet under login eller enhedsaktivering. Disse metoder strækker sig fra phishing-resistente godkendere, f.eks. biometri og hardware-sikkerhedsnøgler, til svagere metoder, f.eks. SMS-baserede adgangskoder. Valg af stærke bekræftelsesmetoder reducerer risikoen for tyveri af legitimationsoplysninger og social engineering-angreb betydeligt.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Hvis stærke MFA-bekræftelsesmetoder ikke er aktiveret, kan brugere være afhængige af svagere eller mindre phishing-resistente indstillinger. Dette øger følsomheden over for phishing, afspilning af legitimationsoplysninger, SIM-swapping og social engineering-angreb, der kan føre til uautoriseret adgang.
Trusselscenarier
Phishing-angreb, der registrerer engangsadgangskoder, SIM-skiftangreb, der målretter mod SMS-baseret MFA, sessionsovertagelse på grund af manglende oprindelsebundet godkendelse, undertrykkelse af brugere eller systemer uden certifikatvalidering.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Risikostyring afhænger af brugertype (intern kontra ekstern), adgangsrettighedsniveauer, eksponering af Experience Cloud-lokaliteter, og om godkendelsesmetoder er phishing-resistente.
Højere risiko når
Kun SMS-baseret MFA er tilgængelig, phishing-resistente godkendere er ikke aktiveret, hardware-sikkerhedsnøgler understøttes ikke, eller system-til-system-godkendelse mangler certifikatbaseret validering.
Lav risiko når
Denne kontrol kan betragtes som lav risiko, når der implementeres et eller flere af følgende:
- Indbyggede godkendere: Enhedsbaserede biometriske godkendere som Touch ID, Face ID eller Windows Hello er aktiveret.
- Hardware-sikkerhedsnøgler: WebAuthn (FIDO2) eller U2F-sikkerhedsnøgler understøttes og anvendes af brugere.
- Certifikatbaseret godkendelse: Gensidig certifikatvalidering håndhæves for sikker brugergodkendelse eller systemgodkendelse.
- Begrænset SMS-anvendelse: SMS-baseret MFA er kun begrænset til eksterne brugere og suppleres med yderligere sikkerhedsforanstaltninger, hvor det er muligt.
- Kræv brugerbekræftelse under MFA-bekræftelse: Under MFA-bekræftelse er brugerbekræftelse konfigureret til at blive håndhævet for at bekræfte brugeren.
Overvejelser i forbindelse med forretning og integration
Kunder bør overveje brugeroplevelse, enhedskompatibilitet, eksterne brugerpopulationer og bestemmelseskrav, når de vælger MFA-metoder. Eksternt rettede Experience Cloud-lokaliteter kan kræve faseinddelt ibrugtagning af stærkere godkendelsesmetoder.
Anbefalet rettelse
Aktiver indbyggede godkendere og hardwaresikkerhedsnøgler, konfigurer certifikatbaseret godkendelse, hvor det er relevant, begræns eller udfas SMS-baseret MFA, og gennemse regelmæssigt ibrugtagning og anvendelse af MFA-metode.
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandsgennemgang evaluerer MFA-bekræftelsesmetoder for at hjælpe kunder med at indføre phishing-resistent godkendelse, reducere identitetsbaserede angrebsrisiko og justere dem med Salesforce-anbefalede sikkerhedsbasislinjer og Trust.
