實作 Salesforce 組織的多因素驗證

控制名稱

Salesforce 組織的多因素驗證 (MFA) 強制執行

建議組態

針對所有使用者驗證路徑強制執行 MFA,包括直接登入、單一登入 (SSO) 和 API 存取。

控制概觀

MFA 會在密碼之外加入一個因素,大幅降低帳戶入侵的風險。Salesforce 支援 MFA 強制執行直接登入、以 SSO 為基礎的驗證和 API 存取權,以保護跨環境的使用者、整合和敏感資料。

未設定安全性風險

若沒有 MFA,帳戶只會受到密碼的保護,這些密碼可以遭竊、猜測或重複使用,這會大幅增加未經授權存取的可能性。這特別適用於特權使用者和 API 整合。

威脅情況

網路釣魚式認證竊取、暴力密碼攻擊、跨系統重複使用入侵認證、使用竊取的認證或權杖進行未經授權的 API 存取。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

風險嚴重性取決於驗證方法、使用者權限層級、組織的公開程度,以及是否透過 UI、SSO 或 API 進行存取。

風險愈高時機

不會對生產組織、Sandbox 或開發人員組織強制執行 MFA (當 SSO 提供者工作階段缺少 MFA 時,或允許 API 存取而不需額外驗證時)。

低度風險時機

• 直接登入 MFA:系統會針對生產、Sandbox、試用和開發人員組織的所有直接使用者登入啟用 MFA。
• SSO 強制執行 MFA:MFA 會在 SSO 提供者或透過 Salesforce 高保證驗證原則強制執行。
• API MFA 保護:已啟用 MFA for API Logins 權限,以保護以 API 為基礎的存取與用戶端應用程式。
• 特權使用者涵蓋範圍:不會例外,系統會對所有管理員和高權限使用者強制執行 MFA。

業務與整合考量事項

客戶應評估 MFA 與使用者族群、自動化工具和整合的相容性。以 API 為基礎的工作流程可能需要服務帳戶或以權限為基礎的例外,仍維持強大的安全性控制。

建議的補救措施

為所有直接登入、SSO 和 API 存取權要求 MFA。定期稽核原則並確保特權使用者涵蓋範圍。

安全性健康檢閱指南

「安全性健康審查」會評估登入方法之間的 MFA 強制執行,協助客戶將以認證為基礎的風險降到最低,並符合 Salesforce 安全性基準和零 Trust 標準。