設定 Salesforce 組織使用者可用的 MFA 驗證方法

控制名稱

多因素驗證 (MFA) 驗證方法組態

建議組態

啟用防網路釣魚 MFA 驗證方法,排定內建驗證器、硬體安全性金鑰和以憑證為基礎的驗證的優先順序。

控制概觀

Salesforce 支援多種 MFA 驗證方法,可讓使用者在登入或裝置啟用期間驗證其身分。這些方法可以從抵抗網路釣魚的驗證器 (例如生物識別碼和硬體安全性金鑰) 到較弱的方法 (例如 SMS 型密碼)。選取強大驗證方法會大幅降低認證竊取和社交工程攻擊的風險。

未設定安全性風險

如果未啟用強大的 MFA 驗證方法,使用者可以依賴較弱或較不耐網路釣魚的選項。這會增加對網路釣魚、認證重新執行、SIM 交換和社交工程攻擊的敏感性,這可能會導致未經授權的存取。

威脅情況

捕獲一次性密碼的網路釣魚攻擊、鎖定 SMS 型 MFA 的 SIM 交換攻擊、由於缺少與來源繫結驗證而導致的工作階段劫持、模擬使用者或沒有憑證驗證的系統。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

風險嚴重性取決於使用者類型 (內部與外部)、存取權限層級、Experience Cloud 網站的曝光程度,以及驗證方法是否能抵禦網路釣魚。

風險愈高時機

僅可使用 SMS 型 MFA、未啟用網路釣魚防護驗證器、不支援硬體安全性金鑰,或系統對系統驗證缺少以憑證為基礎的驗證。

低度風險時機

實作下列一或多個項目時,可將此控制視為低度風險:

• 內建驗證器:裝置型生物識別驗證器 (例如 Touch ID、Face ID 或 Windows Hello) 已啟用。
• 硬體安全性金鑰:使用者支援與採用 WebAuthn (FIDO2) 或 U2F 安全性金鑰。
• 以憑證為基礎的驗證:為了安全使用者或系統驗證,會強制執行共同憑證驗證。
• 有限 SMS 用量:以 SMS 為基礎的 MFA 僅限於外部使用者,並盡可能以額外的保護措施補充。
• 在 MFA 驗證期間要求使用者驗證:在 MFA 驗證期間,會將使用者驗證設定為強制執行以驗證使用者。

業務與整合考量事項

客戶在選取 MFA 方法時,應考量使用者體驗、裝置相容性、外部使用者族群和法規需求。對外開放的 Experience Cloud 網站可能需要分階段採用更強式的驗證方法。

建議的補救措施

啟用內建驗證器和硬體安全性金鑰、在適用的情況下設定以憑證為基礎的驗證、限制或逐步淘汰以 SMS 為基礎的 MFA,並定期檢閱 MFA 方法的採用與使用情況。

安全性健康檢閱指南

Security Health Review 會評估 MFA 驗證方法,以協助客戶採用防網路釣魚驗證、降低以身分為基礎的攻擊風險,並符合 Salesforce 建議的安全性基準和 Zero Trust 原則。