为 Salesforce 组织配置对用户可用的 MFA 验证方法

控件名称

多重身份验证 (MFA) 验证方法配置

推荐配置

启用防网络钓鱼 MFA 验证方法，优先考虑内置身份验证程序、硬件安全密钥和基于证书的身份验证。

控制概览

Salesforce 支持多种 MFA 验证方法，以允许用户在登录或设备激活期间验证身份。这些方法从防网络钓鱼身份验证程序（例如生物识别技术和硬件安全密钥）到较弱的方法（例如基于短信的密码）。选择强验证方法可显著降低凭据盗窃和社会工程攻击的风险。

安全风险（如果未配置）

如果未启用强大的 MFA 验证方法，用户可以依赖抵御网络钓鱼的能力较弱或较弱的选项。这增加了对网络钓鱼、凭据重放、SIM 交换和社会工程攻击的敏感性，这些攻击可能导致未经授权的访问。

威胁场景

捕获一次性密码的网络钓鱼攻击、针对基于 SMS 的 MFA 的 SIM 交换攻击、由于缺乏源绑定身份验证而进行的会话劫持、在没有证书验证的情况下冒充用户或系统。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

风险严重性取决于用户类型（内部与外部）、访问权限级别、Experience Cloud 站点的暴露程度，以及身份验证方法是否抗网络钓鱼。

高风险

只有基于 SMS 的 MFA 可用，防网络钓鱼身份验证程序未启用，不支持硬件安全密钥，或系统到系统身份验证缺少基于证书的验证。

低风险

在实施以下一项或多项时，此控制可视为低风险：

• 内置身份验证程序：启用基于设备的生物识别身份验证程序，例如 Touch ID、Face ID 或 Windows Hello。
• 硬件安全密钥：用户支持并使用 WebAuthn (FIDO2) 或 U2F 安全密钥。
• 基于证书的身份验证：对于安全用户或系统身份验证，强制实施共同证书验证。
• 短信使用受限：基于 SMS 的 MFA 仅限于外部用户，并在可能时提供额外的保护措施。
• 在 MFA 验证期间需要用户验证：在 MFA 验证期间，用户验证被配置为强制验证用户。

业务和集成注意事项

在选择 MFA 方法时，客户应考虑用户体验、设备兼容性、外部用户群和监管要求。面向外部的 Experience Cloud 站点可能需要分阶段采用更强的身份验证方法。

建议的补救措施

启用内置身份验证程序和硬件安全密钥，配置基于证书的身份验证（如果适用），限制或逐步淘汰基于短信的 MFA，并定期审查 MFA 方法的采用和使用情况。

安全健康审查指导

安全健康审查评估 MFA 验证方法，以帮助客户采用抗网络钓鱼身份验证，降低基于身份的攻击风险，并与 Salesforce 推荐的安全基准和 Zero Trust 原则保持一致。