?多年來(lái)，企業(yè)一直面臨著數(shù)據(jù)泄露和賬戶接管的問(wèn)題。其中大部分都是證書(shū)泄露的結(jié)果。

受到損害的憑證和弱密碼的實(shí)例越來(lái)越多，這促使企業(yè)將多因素身份驗(yàn)證(MFA)納入其平臺(tái)中，增加額外的安全層。

然而近年來(lái)，網(wǎng)絡(luò)犯罪分子在當(dāng)前的多因素身份驗(yàn)證(MFA安全實(shí)踐中發(fā)現(xiàn)了漏洞，利用客戶信息和敏感的業(yè)務(wù)細(xì)節(jié)。

而對(duì)多因素身份驗(yàn)證(MFA最突出的威脅之一就是多因素身份驗(yàn)證(MFA疲勞攻擊。這種攻擊的目的是向憑據(jù)已經(jīng)受損的用戶發(fā)送垃圾郵件，方法是向其發(fā)送多因素身份驗(yàn)證(MFA授權(quán)請(qǐng)求，直到他們感到厭煩并意外批準(zhǔn)該請(qǐng)求。

讓我們揭示MFA疲勞攻擊的各個(gè)方面，以及企業(yè)必須如何做好準(zhǔn)備來(lái)保護(hù)敏感的業(yè)務(wù)和客戶信息。

什么是MFA疲勞發(fā)作?　　

多因素身份驗(yàn)證(MFA)一種用于驗(yàn)證用戶的基本安全機(jī)制。它通過(guò)驗(yàn)證用戶所知道的東西(例如密碼)、他們所擁有的東西(例如物理令牌)和他們擬人的東西(例如指紋)來(lái)防止對(duì)服務(wù)的未經(jīng)授權(quán)的訪問(wèn)。

然而，這些MFA機(jī)制可以被有針對(duì)性的攻擊所繞過(guò)，如網(wǎng)絡(luò)釣魚(yú)、惡意軟件和暴力破解，導(dǎo)致賬戶接管和數(shù)據(jù)泄露。

這種特定的攻擊被稱(chēng)為“MFA疲勞”，旨在向憑證已被破壞的用戶發(fā)送垃圾郵件。然后攻擊者用MFA授權(quán)請(qǐng)求轟炸用戶，直到用戶厭煩并意外批準(zhǔn)了請(qǐng)求。

為了讓黑客更難猜出密碼，用戶通常需要輸入三個(gè)或更多的OTP請(qǐng)求才能進(jìn)入他們的賬戶。

如果訪問(wèn)帳戶涉及的因素太多，攻擊者就很容易向每個(gè)元素發(fā)送垃圾郵件，直到他們找到一個(gè)響應(yīng)時(shí)間比平時(shí)長(zhǎng)的元素。那就是他們真正能夠利用這種認(rèn)證方法的時(shí)候。

企業(yè)應(yīng)該認(rèn)真對(duì)待MFA疲勞攻擊，因?yàn)槿绻鸐FA疲勞攻擊的目標(biāo)是他們的員工或用戶/客戶，它可能會(huì)導(dǎo)致重大損失，如敏感的業(yè)務(wù)細(xì)節(jié)，因?yàn)楣粽呖赡塬@得關(guān)鍵信息。

如何降低與MFA疲勞攻擊相關(guān)的風(fēng)險(xiǎn)　　

大多數(shù)企業(yè)依賴MFA的最大問(wèn)題之一是如何保護(hù)員工/用戶免受MFA疲勞攻擊。

讓我們了解組織可以保護(hù)自己免受MFA疲勞攻擊的方法:

• 結(jié)合自適應(yīng)身份驗(yàn)證/基于風(fēng)險(xiǎn)的身份驗(yàn)證
• 只有通過(guò)自適應(yīng)認(rèn)證/基于風(fēng)險(xiǎn)的認(rèn)證，引入先進(jìn)的多因素認(rèn)證，才能保證健壯的安全性。

自適應(yīng)身份驗(yàn)證/基于風(fēng)險(xiǎn)的身份驗(yàn)證確保即使包括密碼和OTP在內(nèi)的多個(gè)身份驗(yàn)證層被破壞，也能識(shí)別身份驗(yàn)證請(qǐng)求中的突然更改，并自動(dòng)添加另一個(gè)嚴(yán)格的身份驗(yàn)證層。

自適應(yīng)身份驗(yàn)證可以完美地識(shí)別任何潛在的身份驗(yàn)證風(fēng)險(xiǎn)。它通過(guò)分析一個(gè)不尋常的登錄嘗試、一個(gè)新的訪問(wèn)地理位置和幾次嘗試，自動(dòng)加強(qiáng)身份驗(yàn)證安全性。

企業(yè)可以合并自適應(yīng)身份驗(yàn)證，并確保他們的員工或客戶免受MFA疲勞攻擊。

員工意識(shí)　　

由于人們知道MFA疲勞嘗試是由人為錯(cuò)誤導(dǎo)致的，因此向企業(yè)的員工傳播這一意識(shí)可能是保護(hù)敏感信息的好方法。

大多數(shù)時(shí)候，企業(yè)的員工在訪問(wèn)他們的賬戶時(shí)，并沒(méi)有意識(shí)到他們需要注意的一些小事情。從業(yè)務(wù)數(shù)據(jù)安全的角度來(lái)看，這可能是相當(dāng)致命的。

企業(yè)有關(guān)最新威脅、網(wǎng)絡(luò)安全衛(wèi)生和安全措施的培訓(xùn)課程，可以取得豐碩成果，最大限度地減少各種網(wǎng)絡(luò)攻擊，包括MFA疲勞攻擊。

經(jīng)常培訓(xùn)員工無(wú)疑是確保他們了解所有最新威脅媒介的最好方法，因此可以在發(fā)現(xiàn)任何可疑情況時(shí)保護(hù)自己。

結(jié)語(yǔ)　　

MFA為開(kāi)啟數(shù)字化轉(zhuǎn)型之旅的企業(yè)提供了出色的安全保障。然而，這種身份驗(yàn)證機(jī)制的潛在風(fēng)險(xiǎn)(包括MFA疲勞)不可忽視。

在全球范圍內(nèi)，MFA疲勞攻擊已經(jīng)影響了企業(yè)，并造成了價(jià)值數(shù)百萬(wàn)美元的聲譽(yù)和財(cái)務(wù)損失。

上述步驟可以幫助組織確保針對(duì)MFA疲勞攻擊的嚴(yán)格安全性，從而減少財(cái)務(wù)和聲譽(yù)損失的機(jī)會(huì)。?