Konfigurieren der für Benutzer für Salesforce-Organisationen verfügbaren MFA-Überprüfungsmethoden

Steuerelementname

Konfiguration der Überprüfungsmethoden für die Multi-Faktor-Authentifizierung

Empfohlene Konfiguration

Aktivieren Sie Phishing-resistente MFA-Überprüfungsmethoden und priorisieren Sie integrierte Authentifizierungsprogramme, Hardware-Sicherheitsschlüssel und zertifikatsbasierte Authentifizierung.

Steuerelementübersicht

Salesforce unterstützt mehrere MFA-Überprüfungsmethoden, damit Benutzer ihre Identität während der Anmeldung oder Geräteaktivierung bestätigen können. Diese Methoden reichen von Phishing-resistenten Authentifizierungsprogrammen wie Biometrie und Hardware-Sicherheitsschlüsseln bis hin zu schwächeren Methoden wie SMS-basierten Kenncodes. Durch die Auswahl zuverlässiger Überprüfungsmethoden wird das Risiko von Credential-Diebstahl und Social Engineering-Angriffen erheblich reduziert.

Sicherheitsrisiko, wenn nicht konfiguriert

Wenn sichere MFA-Überprüfungsmethoden nicht aktiviert sind, können sich Benutzer auf schwächere oder weniger Phishing-resistente Optionen verlassen. Dies erhöht die Anfälligkeit für Phishing, erneute Wiedergabe von Anmeldeinformationen, SIM-Austausch und Social Engineering-Angriffe, die zu unbefugtem Zugriff führen können.

Bedrohungsszenarien

Phishing-Angriffe, die Einmalkenncodes erfassen, SIM-Swap-Angriffe, die auf SMS-basierte MFA abzielen, Session-Hijacking aufgrund fehlender ursprungsgebundener Authentifizierung, Nachahmung von Benutzern oder Systemen ohne Zertifikatvalidierung.

Geschätzter CVSS-Bewertungsbereich

Kritisch (9.0–10.0).

Überlegungen zu Risikoauswirkungen

Der Risikoschweregrad hängt vom Benutzertyp (intern und extern), den Zugriffsberechtigungsebenen, der Offenlegung von Experience Cloud-Sites und davon ab, ob Authentifizierungsmethoden Phishing-resistent sind.

Höheres Risiko, wenn

Es ist nur die SMS-basierte MFA verfügbar, Phishing-resistente Authentifizierungsprogramme sind nicht aktiviert, Hardware-Sicherheitsschlüssel werden nicht unterstützt oder bei der System-zu-System-Authentifizierung fehlt die zertifikatsbasierte Validierung.

Geringes Risiko, wenn

Dieses Steuerelement kann als risikoarm angesehen werden, wenn eine oder mehrere der folgenden Aktionen implementiert werden:

• Integrierte Authentifizierungsprogramme: Gerätebasierte biometrische Authentifizierungen wie Touch ID, Face ID oder Windows Hello sind aktiviert.
• Hardware-Sicherheitsschlüssel: WebAuthn- (FIDO2) oder U2F-Sicherheitsschlüssel werden von Benutzern unterstützt und übernommen.
• Zertifikatbasierte Authentifizierung: Die gegenseitige Zertifikatvalidierung wird für die sichere Benutzer- oder Systemauthentifizierung erzwungen.
• Eingeschränkte SMS-Nutzung: Die SMS-basierte MFA ist nur auf externe Benutzer beschränkt und wird nach Möglichkeit durch zusätzliche Schutzmaßnahmen ergänzt.
• Benutzerüberprüfung während der MFA-Überprüfung anfordern: Während der MFA-Überprüfung wird die Benutzerüberprüfung so konfiguriert, dass sie zur Überprüfung des Benutzers erzwungen wird.

Überlegungen zu Unternehmen und Integration

Kunden sollten bei der Auswahl der MFA-Methoden die Benutzererfahrung, die Gerätekompatibilität, externe Benutzerpopulationen und behördliche Anforderungen berücksichtigen. Externe Experience Cloud-Sites erfordern möglicherweise eine phasenweise Einführung stärkerer Authentifizierungsmethoden.

Empfohlene Sanierung

Aktivieren Sie integrierte Authentifizierungsprogramme und Hardware-Sicherheitsschlüssel, konfigurieren Sie gegebenenfalls die zertifikatsbasierte Authentifizierung, begrenzen oder beenden Sie die SMS-basierte MFA und überprüfen Sie regelmäßig die Akzeptanz und Nutzung der MFA-Methode.

Anleitung zur Sicherheitsintegritätsprüfung

Die Sicherheitsintegritätsprüfung wertet MFA-Überprüfungsmethoden aus, um Kunden bei der Einführung einer Phishing-resistenten Authentifizierung zu unterstützen, das identitätsbasierte Angriffsrisiko zu reduzieren und die von Salesforce empfohlenen Sicherheitsgrundlagen und Zero Trust Prinzipien einzuhalten.