Настройка методов проверки MFA, доступных пользователям для организаций Salesforce

Управление именем

Конфигурация методов проверки многофакторной проверки подлинности (MFA)

Рекомендованная конфигурация

Включите устойчивые к фишингу методы проверки подлинности MFA, приоритизируя встроенные средства проверки подлинности, аппаратные ключи безопасности и проверку подлинности на основе сертификата.

Общие сведения о контроле

Salesforce поддерживает несколько методов проверки MFA, позволяющих пользователям подтверждать свою личность во время входа или активации устройства. Эти методы варьируются от фишингоустойчивых средств проверки подлинности, например, биометрических и аппаратных ключей безопасности, до более слабых методов, например, SMS-кодов. Выбор сильных методов проверки значительно уменьшает риск кражи регистрационных данных и атак социальной инженерии.

Риск безопасности, если он не настроен

Если сильные методы проверки MFA не включены, пользователи могут полагаться на более слабые или менее устойчивые к фишингу варианты. Это повышает восприимчивость к фишингу, повтору регистрационных данных, замене SIM и атакам социальной инженерии, которые могут привести к несанкционированному доступу.

Сценарии угроз

Фишинговые атаки, собирающие одноразовые коды, атаки замены SIM, нацеленные на MFA на основе SMS, перехват сеанса из-за отсутствия проверки подлинности привязки к происхождению, олицетворение пользователей или систем без проверки сертификата.

Примерный диапазон оценки CVSS

Критические (9,0-10,0).

Рекомендации по влиянию риска

Тяжесть риска зависит от типа пользователя (внутренний по сравнению с внешним), уровней привилегий доступа, доступа к сайтам Experience Cloud и устойчивости методов проверки подлинности к фишингу.

Повышенный риск при

Доступна только MFA на основе SMS-сообщений, средства проверки подлинности, устойчивые к фишингу, не включены, аппаратные ключи безопасности не поддерживаются или проверка подлинности на основе сертификата отсутствует.

Низкий риск при

Этот элемент управления можно считать низкорисковым при внедрении одного или нескольких из следующих элементов:

• Встроенные средства проверки подлинности: Биометрические средства проверки подлинности на основе устройства, например, Touch ID, Face ID или Windows Hello, включены.
• Ключи аппаратной безопасности: Ключи безопасности WebAuthn (FIDO2) или U2F поддерживаются и принимаются пользователями.
• Проверка подлинности на основе сертификата: Взаимная проверка подлинности сертификата применяется для безопасной проверки подлинности пользователя или системы.
• Ограниченное использование SMS-сообщений: MFA на основе SMS-сообщений ограничена только внешними пользователями и дополнена дополнительными гарантиями, где возможно.
• Требовать проверку пользователя во время проверки MFA: Во время проверки MFA проверка пользователя настроена на принудительную проверку пользователя.

Рекомендации по бизнесу и интеграции

При выборе методов MFA клиенты должны учитывать взаимодействие пользователей, совместимость устройств, заполнение внешних пользователей и нормативные требования. Внешние сайты Experience Cloud могут требовать поэтапного внедрения более сильных методов проверки подлинности.

Рекомендованное исправление

Включите встроенные средства проверки подлинности и ключи безопасности аппаратного обеспечения, настройте проверку подлинности на основе сертификата, где это применимо, ограничьте или постепенно отмените MFA на основе SMS и регулярно проверяйте внедрение и использование метода MFA.

Руководство по проверке состояния безопасности

Обзор состояния безопасности оценивает методы проверки MFA, чтобы помочь клиентам внедрить устойчивую к фишингу проверку подлинности, снизить риск атак на основе удостоверений и привести их в соответствие с рекомендованными Salesforce базовыми показателями безопасности и принципами Zero Trust.