Configurar os métodos de verificação de MFA disponíveis a usuários para organizações do Salesforce

Nome do controle

Configuração de métodos de verificação de autenticação multifator (MFA)

Configuração recomendada

Habilite métodos de verificação de MFA resistentes a phishing, priorizando autenticadores integrados, chaves de segurança de hardware e autenticação baseada em certificado.

Visão geral de controle

O Salesforce oferece suporte a vários métodos de verificação de MFA para permitir que os usuários verifiquem sua identidade durante o login ou a ativação do dispositivo. Esses métodos variam de autenticadores resistentes a phishing, como chaves biométricas e de segurança de hardware, a métodos mais fracos, como senhas baseadas em SMS. Selecionar métodos de verificação fortes reduz significativamente o risco de roubo de credenciais e ataques de engenharia social.

Risco de segurança, se não configurado

Se métodos de verificação de MFA forte não estiverem habilitados, os usuários poderão contar com opções mais fracas ou menos resistentes a phishing. Isso aumenta a suscetibilidade a ataques de phishing, reprodução de credenciais, troca de SIM e engenharia social que podem levar a acesso não autorizado.

Cenários de ameaça

Ataques de phishing capturando senhas de uso único, ataques de troca de SIM direcionados à MFA baseada em SMS, sequestro de sessão devido à falta de autenticação vinculada à origem, personalização de usuários ou sistemas sem validação de certificado.

Intervalo de pontuação de CVSS estimado

Crítico (9.0 a 10.0).

Considerações sobre impacto de risco

A gravidade do risco depende do tipo de usuário (interno vs. externo), dos níveis de privilégio de acesso, da exposição dos sites do Experience Cloud e de se os métodos de autenticação são resistentes a phishing.

Risco maior quando

Apenas MFA baseada em SMS está disponível, autenticadores resistentes a phishing não estão habilitados, chaves de segurança de hardware não têm suporte ou a autenticação entre sistemas não tem validação baseada em certificado.

Baixo risco quando

Esse controle pode ser considerado de baixo risco ao implementar um ou mais dos seguintes:

• Autenticadores integrados: Os autenticadores biométricos baseados em dispositivo, como Touch ID, Face ID ou Windows Hello, estão habilitados.
• Chaves de segurança de hardware: As chaves de segurança WebAuthn (FIDO2) ou U2F têm suporte e são adotadas pelos usuários.
• Autenticação baseada em certificado: A validação de certificado mútuo é aplicada para a autenticação segura do usuário ou do sistema.
• Uso limitado de SMS: A MFA baseada em SMS é restrita apenas a usuários externos e complementada com proteções adicionais quando possível.
• Exigir verificação do usuário durante a verificação de MFA: Durante a verificação de MFA, a verificação de usuário é configurada para ser imposta para verificar o usuário.

Considerações de negócios e integração

Os clientes devem considerar a experiência do usuário, a compatibilidade do dispositivo, os preenchimentos de usuários externos e os requisitos regulatórios ao selecionar métodos de MFA. Sites do Experience Cloud voltados para o público externo podem exigir a adoção em fases de métodos de autenticação mais fortes.

Remediação recomendada

Habilite autenticadores integrados e chaves de segurança de hardware, configure a autenticação baseada em certificado quando aplicável, limite ou remova gradualmente a MFA baseada em SMS e revise regularmente a adoção e o uso do método MFA.

Diretriz de revisão de saúde de segurança

A Análise de integridade da segurança avalia os métodos de verificação de MFA para ajudar os clientes a adotar a autenticação resistente a phishing, reduzir o risco de ataques baseados em identidade e se alinhar com as linhas de base de segurança recomendadas pela Salesforce e os princípios Zero Trust.