MFA-vahvistusmenetelmien määrittäminen käyttäjille Salesforce-organisaatioissa

Ohjaimen nimi

Monimenetelmäisen todennuksen (MFA) vahvistusmenetelmien kokoonpano

Suositeltu kokoonpano

Ota käyttöön tietojen kalastelemiselle kestävät MFA-vahvistusmenetelmät, priorisoi sisäänrakennetut todentajat, laitteiston suojausavaimet ja sertifikaatteihin perustuva todennus.

Ohjauksen yleiskatsaus

Salesforce tukee useita MFA-vahvistusmenetelmiä salliakseen käyttäjien vahvistaa henkilöllisyytensä sisäänkirjautumisen tai laitteen aktivoinnin aikana. Nämä menetelmät vaihtelevat tietojen kalastelemiselle kestävistä todentajista, kuten biometrisistä tiedoista ja laitteiston suojausavaimista, heikompiin menetelmiin, kuten tekstiviesteihin perustuviin pääsykoodeihin. Vahvojen vahvistusmenetelmien valitseminen vähentää tunnusten varastamisen ja sosiaalisen suunnittelun hyökkäysten riskiä merkittävästi.

Tietoturvariski, jos ei määritetty

Jos vahvoja MFA-vahvistusmenetelmiä ei ole otettu käyttöön, käyttäjät voivat luottaa heikompiin tai vähemmän tietojen kalasteluvastaisiin vaihtoehtoihin. Tämä parantaa alttiutta tietojen kalastukselle, tunnusten toistolle, SIM-vaihdolle ja sosiaaliselle suunnittelulle, jotka voivat johtaa valtuuttamattomaan käyttöön.

Uhkien skenaariot

Kertakäyttöisiä pääsykoodeja kaappaavat tietojen kalasteluhyökkäykset, SMS-tekstiviesteihin perustuvaa MFA-todennusta koskevat SIM-vaihtokohtaiset hyökkäykset, istunnon kaappaus alkuperäperusteisen todennuksen puutteen vuoksi, käyttäjien tai järjestelmien esittäminen ilman sertifikaatin vahvistusta.

Arvioitu CVSS-pistealue

Kriittinen (9.0–10.0).

Riskien vaikutuksissa huomioitavia asioita

Riskien vakavuus riippuu käyttäjätyypistä (sisäinen vs. ulkoinen), käyttöoikeustasoista, Experience Cloud -sivustojen altistumisesta ja siitä, ovatko todennusmenetelmät tietojen kalasteluvastaisia.

Korkeampi riski, kun

Vain SMS-pohjainen MFA on käytettävissä, tietojen kalasteluvastaiset todentajat eivät ole käytössä, laitteiston suojausavaimia ei tueta tai järjestelmäkohtainen todennus ei sisällä sertifikaatteihin perustuvaa vahvistusta.

Matalan riskin milloin

Tätä asetusta voidaan pitää vähäriskisenä, kun käytät yhtä tai useampaa seuraavista:

• Sisäänrakennetut todentajat: Laitteisiin perustuvat biometriset todentajat, kuten Touch ID, Face ID tai Windows Hello, ovat käytössä.
• Laitteistojen suojausavaimet: Käyttäjät tukevat ja hyväksyvät WebAuthn-suojausavaimia (FIDO2) tai U2F-suojausavaimia.
• Sertifikaatteihin perustuva todennus: Yhteistä sertifikaatin vahvistusta käytetään turvallisen käyttäjän tai järjestelmän todentamiseksi.
• Rajoitettu SMS-käyttö: SMS-tekstiviesteihin perustuva MFA on rajoitettu vain ulkoisille käyttäjille ja se on täydennetty lisäsuojauksilla, kun se on mahdollista.
• Vaadi käyttäjän vahvistus MFA-vahvistuksen aikana: MFA-vahvistuksen aikana käyttäjän vahvistus määritetään pakotettavaksi käyttäjän vahvistamiseksi.

Liiketoiminnassa ja integraatiossa huomioitavia asioita

Asiakkaiden tulisi ottaa huomioon käyttäjäkokemus, laitteiden yhteensopivuus, ulkoisten käyttäjien populaatiot ja lakisääteiset vaatimukset, kun he valitsevat MFA-metodeja. Ulkoiset Experience Cloud -sivustot saattavat vaatia vahvempien todennusmenetelmien vaiheittaista käyttöönottoa.

Suositeltu korjaus

Ota käyttöön sisäänrakennetut todentajat ja laitteistojen suojausavaimet, määritä sertifikaatteihin perustuva todennus tarvittaessa, rajoita tai poista SMS-tekstiviesteihin perustuva MFA ja tarkasta MFA-menetelmän säännöllinen sopeutuminen ja käyttö.

Tietoturvan terveystarkastuksen ohjeet

Suojauksen terveystarkastus arvioi MFA-vahvistusmenetelmät auttaakseen asiakkaita omaksumaan tietojen kalasteluvastaista todennusta, vähentämään henkilöllisyyksiin perustuvien hyökkäysten riskiä ja noudattamaan Salesforcen suosittelemia tietoturvan perustasoja ja Zero Trust -periaatteita.