Salesforce เตรียมบังคับผู้ใช้ทั้งหมดต้องล็อกอินแบบยืนยันตัวตนหลายชั้นหรือ MFA ภายในวันที่ 1 กุมภาพันธ์นี้ หลังจากประกาศมาตั้งแต่เดือนมีนาคมปีที่แล้ว โดยจุดน่าสนใจคือนโยบายของ Salesforce นั้นนับว่าเข้มกว่าบริการอื่นๆ ที่มักเปิด MFA เป็นทางเลือก หรือหากบังคับก็มักจะมีตัวเลือกหลากหลาย โดยเฉพาะ SMS ที่ไม่ปลอดภัยนัก

Salesforce บังคับใช้ MFA โดยระบุชัดเจนว่าการยืนยันตัวตนผ่านโทรศัพท์, SMS, และอีเมล นั้นไม่นับเป็นการยืนยันตัวตนที่น่าเชื่อถือ ต้องใช้กระบวนการยืนยันตัวตนสมัยใหม่ เช่น แอป TOTP เช่น Google Authenticator หรือ Microsoft Authenticator, กุญแจ U2F/WebAuthn, ตลอดจนการยืนยันตัวตนกับอุปกรณ์ เช่น Touch ID/Face ID/Windows Hello

นอกจากการกำหนดนโยบาย MFA อย่างเข้มข้นแล้ว Salesforce ยังกำหนดไปถึงองค์กรที่ใช้บริการล็อกอินภายนอก (single sign-on - SSO) เช่น Azure AD, Keycloak ว่าต้องกำหนดรูปแบบการล็อกอินให้แข็งแรงระดับที่กำหนดด้วยเหมือนกัน แม้ว่า Salesforce จะไปบังคับให้ลูกค้าคอนฟิกระบบ SSO ให้แข็งแรงตามที่กำหนดไม่ได้ แต่หากคอนฟิกนโยบายการล็อกอินไม่ครบก็จะถือว่าหลุดจาก compliance ตามสัญญาระหว่าง Salesforce และลูกค้าซึ่งทางบริษัทแนะนำให้ปรึกษาฝ่ายกฎหมายของลูกค้าแต่ละรายว่ามีผลกระทบอย่างไรบ้าง

นโยบายนี้นับว่าแข็งกว่ามาตรฐาน NIST SP 800-63B ที่ออกมาเมื่อปี 2017 ให้ใช้งาน SMS และโทรศัพท์ได้แต่ต้องมีทางเลือกอื่นที่ปลอดภัยกว่า

ที่มา - Salesforce, The Register