U bent hier:
De voor gebruikers beschikbare MFA-verificatiemethoden configureren voor Salesforce-organisaties
Salesforce ondersteunt meerdere MFA-verificatiemethoden zodat gebruikers hun identiteit kunnen verifiëren tijdens inloggen of apparaatactivering.
Controlenaam
Configuratie van verificatiemethoden voor multi-factorenauthenticatie (MFA)
Aanbevolen configuratie
Schakel phishingbestendige MFA-verificatiemethoden in, waarbij voorrang wordt gegeven aan ingebouwde authenticators, hardwarebeveiligingssleutels en op certificaten gebaseerde authenticatie.
Overzicht van besturingselementen
Salesforce ondersteunt meerdere MFA-verificatiemethoden zodat gebruikers hun identiteit kunnen verifiëren tijdens inloggen of apparaatactivering. Deze methoden variëren van phishingbestendige authenticators, zoals biometrie en hardwarebeveiligingssleutels, tot zwakkere methoden zoals op sms gebaseerde toegangscodes. Het selecteren van sterke verificatiemethoden vermindert het risico op inloggegevensdiefstal en social engineering-aanvallen aanzienlijk.
Beveiligingsrisico indien niet geconfigureerd
Als sterke MFA-verificatiemethoden niet zijn ingeschakeld, kunnen gebruikers vertrouwen op zwakkere of minder phishingbestendige opties. Dit vergroot de gevoeligheid voor phishing, opnieuw afspelen van inloggegevens, SIM-swapping en social engineering-aanvallen die kunnen leiden tot ongeoorloofde toegang.
Dreigingsscenario's
Phishing-aanvallen die eenmalige toegangscodes vastleggen, SIM-swapaanvallen die zijn gericht op op op sms gebaseerde MFA, sessie-overname door gebrek aan herkomstgebonden authenticatie, het zich voordoen als gebruikers of systemen zonder certificaatvalidatie.
Geschatte CVSS-scorebereik
Kritiek (9,0–10,0).
Overwegingen bij risico-impact
De ernst van het risico is afhankelijk van het gebruikerstype (intern versus extern), toegangsprivilegeniveaus, blootstelling van Experience Cloud-sites en of authenticatiemethoden phishingbestendig zijn.
Hoger risico wanneer
Alleen op sms gebaseerde MFA is beschikbaar, phishingbestendige authenticators zijn niet ingeschakeld, hardwarebeveiligingssleutels worden niet ondersteund of systeem-naar-systeemauthenticatie ontbreekt op een certificaat gebaseerde validatie.
Laag risico wanneer
Deze controle kan als laag risico worden beschouwd bij de implementatie van een of meer van de volgende:
- Ingebouwde authenticators: Op apparaten gebaseerde biometrische authenticators zoals Touch ID, Face ID of Windows Hello zijn ingeschakeld.
- Hardwarebeveiligingssleutels: WebAuthn (FIDO2)- of U2F-beveiligingssleutels worden ondersteund en geadopteerd door gebruikers.
- Op een certificaat gebaseerde authenticatie: Wederzijdse certificaatvalidatie wordt afgedwongen voor veilige gebruikers- of systeemauthenticatie.
- Beperkt sms-gebruik: Op sms gebaseerde MFA is beperkt tot alleen externe gebruikers en wordt waar mogelijk aangevuld met extra beveiliging.
- Gebruikersverificatie vereisen tijdens MFA-verificatie: Tijdens MFA-verificatie wordt gebruikersverificatie geconfigureerd om te worden afgedwongen om de gebruiker te verifiëren.
Overwegingen bij bedrijf en integratie
Klanten moeten rekening houden met gebruikerservaring, apparaatcompatibiliteit, externe gebruikersgroepen en wettelijke vereisten bij het selecteren van MFA-methoden. Extern gerichte Experience Cloud-sites kunnen gefaseerde acceptatie van sterkere authenticatiemethoden vereisen.
Aanbevolen oplossing
Schakel ingebouwde authenticators en hardwarebeveiligingssleutels in, configureer op certificaten gebaseerde authenticatie waar van toepassing, beperk of elimineer op sms gebaseerde MFA en bestudeer regelmatig de acceptatie en het gebruik van MFA-methoden.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand evalueert MFA-verificatiemethoden om klanten te helpen phishingbestendige authenticatie te gebruiken, het risico op identiteitsgebaseerde aanvallen te verminderen en te voldoen aan de door Salesforce aanbevolen beveiligingsbaselines en Zero Trust principes.
