Du är här:
Konfigurera de MFA-verifieringsmetoder som är tillgängliga för användare för Salesforce-organisationer
Salesforce har stöd för flera MFA-verifieringsmetoder så att användare kan bekräfta sin identitet under inloggning eller enhetsaktivering.
Kontrollnamn
Konfiguration av verifieringsmetoder med flerfaktorsautentisering (MFA)
Rekommenderad konfiguration
Aktivera nätfiskeresistenta MFA-verifieringsmetoder, med prioritet på inbyggda autentiserare, hårdvarusäkerhetsnycklar och certifikatbaserad autentisering.
Kontrollöversikt
Salesforce har stöd för flera MFA-verifieringsmetoder för att låta användare bekräfta sin identitet under inloggning eller enhetsaktivering. Dessa metoder sträcker sig från nätfiskeresistenta autentiserare, som biometrik och hårdvarusäkerhetsnycklar, till svagare metoder som SMS-baserade lösenkoder. Att välja starka verifieringsmetoder minskar avsevärt risken för stöld av inloggningsuppgifter och attacker med social teknik.
Säkerhetsrisk om den inte är konfigurerad
Om starka MFA-verifieringsmetoder inte är aktiverade kan användare förlita sig på svagare eller mindre nätfiskeresistenta alternativ. Detta ökar känsligheten för nätfiske, repris av inloggningsuppgifter, SIM-byte och attacker med social teknik som kan leda till obehörig åtkomst.
Hotscenarier
Nätfiskeattacker som samlar in engångslösenord, SIM-bytesattacker som riktar in sig på SMS-baserad MFA, sessionsövertagande på grund av bristande ursprungsbunden autentisering, imitation av användare eller system utan certifikatvalidering.
Uppskattat CVSS-betygintervall
Kritisk (9,0-10,0).
Att tänka på vad gäller riskpåverkan
Riskernas allvarlighetsgrad beror på användartyp (intern vs extern), åtkomstbehörighetsnivåer, exponering för Experience Cloud-webbplatser och om autentiseringsmetoderna är phishing-resistenta.
Högre risk när
Endast SMS-baserad MFA är tillgänglig, nätfiskeresistenta autentiserare är inte aktiverade, säkerhetsnycklar för hårdvara stöds inte eller system-till-system-autentisering saknar certifikatbaserad validering.
Låg risk när
Denna kontroll kan anses vara låg risk vid implementering av en eller flera av följande:
- Inbyggda autentiserare: Enhetsbaserade biometriska autentiserare som Touch ID, Face ID eller Windows Hello är aktiverade.
- Hårdvarusäkerhetsnycklar: WebAuthn (FIDO2) eller U2F-säkerhetsnycklar stöds och används av användare.
- Certifikatbaserad autentisering: Validering av ömsesidigt certifikat tillämpas för säker användar- eller systemautentisering.
- Begränsad SMS-användning: SMS-baserad MFA är begränsad till externa användare och kompletteras med ytterligare skyddsåtgärder där så är möjligt.
- Kräv användarverifiering under MFA-verifiering: Under MFA-verifiering är användarverifiering konfigurerad att tillämpas för att verifiera användaren.
Att tänka på vad gäller affärer och integration
Kunder bör överväga användarupplevelse, enhetskompatibilitet, externa användarpopulationer och lagstadgade krav när de väljer MFA-metoder. Externa Experience Cloud-webbplatser kan kräva stegvis användning av starkare autentiseringsmetoder.
Rekommenderad åtgärd
Aktivera inbyggda autentiserare och hårdvarusäkerhetsnycklar, konfigurera certifikatbaserad autentisering där det är tillämpligt, begränsa eller fasa ut SMS-baserad MFA och gå regelbundet igenom användning och användning av MFA-metoder.
Vägledning för granskning av säkerhetshälsa
Säkerhetshälsogranskning utvärderar MFA-verifieringsmetoder för att hjälpa kunder använda nätfiskeresistent autentisering, minska identitetsbaserad attackrisk och anpassa sig till Salesforce-rekommenderade säkerhetsbaslinjer och Zero Trust.
