Configurazione dei metodi di verifica MFA disponibili per gli utenti per le organizzazioni Salesforce

Nome controllo

Configurazione dei metodi di verifica con autenticazione a più fattori (MFA)

Configurazione consigliata

Abilitare metodi di verifica MFA resistenti al phishing, dando priorità agli autenticatori integrati, alle chiavi di protezione hardware e all'autenticazione basata su certificato.

Panoramica sul controllo

Salesforce supporta più metodi di verifica MFA per consentire agli utenti di verificare la propria identità durante l'accesso o l'attivazione del dispositivo. Questi metodi vanno da autenticatori resistenti al phishing, ad esempio dati biometrici e chiavi di protezione hardware, a metodi più deboli, ad esempio codici di accesso basati su SMS. La selezione di metodi di verifica efficaci riduce in modo significativo il rischio di furto di credenziali e attacchi di social engineering.

Rischio per la sicurezza se non configurato

Se non sono abilitati metodi di verifica MFA avanzati, gli utenti possono fare affidamento su opzioni più deboli o meno resistenti al phishing. Ciò aumenta la possibilità di attacchi di phishing, replay delle credenziali, scambio di SIM e social engineering che possono causare accessi non autorizzati.

Scenari di minaccia

Attacchi di phishing che acquisiscono codici di accesso singoli, attacchi di scambio della SIM mirati alla MFA basata su SMS, hijack della sessione dovuti alla mancanza di autenticazione legata all'origine, imitazione di utenti o sistemi senza convalida del certificato.

Intervallo di punteggi CVSS stimato

Critico (9.0–10.0).

Considerazioni sull'impatto del rischio

La gravità del rischio dipende dal tipo di utente (interno o esterno), dai livelli di privilegi di accesso, dall'esposizione dei siti Experience Cloud e dal fatto che i metodi di autenticazione siano resistenti al phishing.

Rischio maggiore quando

È disponibile solo la MFA basata su SMS, gli autenticatori resistenti al phishing non sono abilitati, le chiavi di protezione hardware non sono supportate o l'autenticazione da sistema a sistema non include la convalida basata su certificato.

Basso rischio quando

Questo controllo può essere considerato a basso rischio quando si implementa una o più delle seguenti operazioni:

• Autenticatori integrati: Sono abilitati gli autenticatori biometrici basati su dispositivo come Touch ID, Face ID o Windows Hello.
• Chiavi di protezione hardware: Le chiavi di protezione WebAuthn (FIDO2) o U2F sono supportate e adottate dagli utenti.
• Autenticazione basata su certificato: La convalida reciproca dei certificati viene applicata per l'autenticazione sicura degli utenti o del sistema.
• Utilizzo SMS limitato: La MFA basata su SMS è limitata solo agli utenti esterni e, ove possibile, integrata con ulteriori misure di salvaguardia.
• Richiedi verifica utente durante la verifica MFA: Durante la verifica della MFA, la verifica utente è configurata per essere imposta per verificare l'utente.

Considerazioni su Business e integrazione

I clienti devono tenere presenti l'esperienza utente, la compatibilità dei dispositivi, le popolazioni di utenti esterni e i requisiti normativi quando selezionano i metodi per la MFA. I siti Experience Cloud rivolti all'esterno possono richiedere l'adozione graduale di metodi di autenticazione più efficaci.

Rimedio consigliato

Abilitare gli autenticatori integrati e le chiavi di protezione hardware, configurare l'autenticazione basata su certificato dove applicabile, limitare o eliminare gradualmente la MFA basata su SMS e rivedere regolarmente l'adozione e l'utilizzo dei metodi MFA.

Guida all'esame dello stato della sicurezza

Security Health Review valuta i metodi di verifica della MFA per aiutare i clienti ad adottare l'autenticazione anti-phishing, ridurre il rischio di attacchi basati sull'identità e conformarsi ai principi di base di sicurezza e Zero Trust consigliati da Salesforce.