譯者 | 劉濤

審校 | 孫淑娟

?多因素身份驗證的推送通知過多？您可能會被黑客利用MFA疲勞攻擊作為目標(biāo)。

越來越多的身份驗證信息被盜事件迫使公司實施多因素身份驗證（MFA），以保護員工免受密碼被盜的嚴重影響。但黑客現(xiàn)在正在進行MFA疲勞攻擊，以繞過這一附加保護層。

那么，什么是MFA疲勞攻擊？這些攻擊是如何工作的？您能做些什么來保護自己？

什么是MFA疲勞攻擊？

MFA疲勞攻擊涉及不停地用MFA推送通知攻擊帳戶所有者，直到他們在心理上崩潰，最終同意登錄請求。

一旦MFA請求被批準(zhǔn)，黑客就可以訪問用戶的帳戶并隨意濫用。

這種攻擊的主要目的是發(fā)送源源不斷的MFA推送通知，給帳戶所有者造成疲勞感。

在適當(dāng)?shù)臅r候，這種MFA疲勞會使帳戶所有者無奈或被迫同意登錄請求，以停止MFA推送通知。

MFA疲勞攻擊的工作原理

隨著越來越多應(yīng)用程序和服務(wù)采用多因素認證，批準(zhǔn) MFA推送通知可能成為一項常規(guī)任務(wù)，因為帳戶所有者每天需要多次批準(zhǔn) MFA請求。最終，每日批準(zhǔn) MFA推送通知可能會使帳戶所有者失去警惕。

此外， MFA通知不斷的攻擊可能會使帳戶所有者疲憊不堪，從而促使他們批準(zhǔn)登錄請求，僅僅是為了防止通知打擾。

由于賬戶持有者經(jīng)常在智能手機上使用身份驗證的應(yīng)用程序，黑客可以24小時不間斷地攻擊這些用戶，以消磨他們的心理防線。

MFA 疲勞攻擊中會發(fā)生什么？

MFA疲勞攻擊的第一步就是獲取用戶登錄憑證。有很多破解密碼的常用方法，包括釣魚郵件、蜘蛛爬蟲和暴力攻擊。

一旦攻擊者獲得用戶的登錄憑證，他們就會用雙重認證提示對用戶進行攻擊。

攻擊者希望：

• 用戶在登錄嘗試時會出錯。
• 用戶將會被持續(xù)不斷的

MFA的疲勞攻擊是自動化的。通常，社會工程結(jié)合 MFA的疲勞攻擊使攻擊成功。例如，目標(biāo)用戶收到一個請求用戶批準(zhǔn) MFA請求的釣魚郵件。一封網(wǎng)絡(luò)釣魚郵件還能告訴目標(biāo)，在接下來的幾天里，隨著新安全系統(tǒng)的出現(xiàn)，他們可能會接到一系列 MFA請求。電子郵件還會聲明，一旦帳戶所有者批準(zhǔn)登錄， MFA請求就會停止。

如何防止MFA疲勞攻擊

以下是一些防止MFA 疲勞攻擊的措施：

1.啟用附加關(guān)聯(lián)

在MFA請求中啟用附加關(guān)聯(lián)可以提供更好的安全性，并保護您免受MFA疲勞攻擊。

M?FA請求中的附加關(guān)聯(lián)有助于您了解哪個帳戶觸發(fā)了MFA通知、嘗試登錄的時間、用于嘗試登錄的設(shè)備以及嘗試登錄的位置。

如果您在未登錄帳戶時卻看到從陌生位置或設(shè)備觸發(fā)的多個MFA請求，則表明威脅者正在試圖向您發(fā)送垃圾郵件。您應(yīng)該立即更改該帳戶的密碼，并通知您的IT部門該帳戶是否與公司網(wǎng)絡(luò)綁定。

許多MFA應(yīng)用程序默認啟用此功能。如果您的驗證器應(yīng)用程序沒有顯示關(guān)聯(lián)內(nèi)容，請查看應(yīng)用程序的設(shè)置，以檢查它是否具有允許關(guān)聯(lián)內(nèi)容的選項。

2. 采用基于風(fēng)險的認證

使用基于風(fēng)險驗證功能的身份認證程序有助于防御 MFA疲勞攻擊。該應(yīng)用程序能夠檢測并分析威脅信號，并根據(jù)已知攻擊模式調(diào)整安全需求。

已知的威脅模式包括登錄嘗試的異常位置，重復(fù)登錄失敗，MFA推送騷擾等等。檢查您的 MFA應(yīng)用程序是否提供基于風(fēng)險的認證，并保護它免受 MFA推送式垃圾郵件攻擊。

3.實現(xiàn)FIDO2認證

任何一家公司采用FIDO2的認證形式，都能預(yù)防 MFA的疲勞攻擊。

FIDO2為用戶提供基于生物特征的更短密碼認證和多因素認證。由于您的登錄憑證不會離開您的設(shè)備，所以它消除了被竊取的風(fēng)險，使得威脅者無法執(zhí)行 MFA通知垃圾郵件。

4.禁用推送通知作為驗證方法

MFA推送通知功能的目的是提供簡單易用的功能。帳戶所有者只需點擊“是”或者“允許”即可登錄它的帳戶。

MFA疲勞攻擊利用了身份認證的這個功能。在驗證器應(yīng)用程序中禁用這些簡單的推送通知作為驗證方法，可以有效地提高 MFA的安全性。

以下是一些可以用于驗證MFA請求的方法：

• 數(shù)字匹配。
• 挑戰(zhàn)與回應(yīng)。
• 基于時間的一次性密碼

使用數(shù)字匹配或時間一次性密碼作為核實方法的優(yōu)點是，用戶不會意外地批準(zhǔn)多邊金融協(xié)議的要求，他們需要完成核實程序所需要的必要信息。

檢查您的身份認證應(yīng)用程序，以了解哪些 MFA 驗證功能可以使用，而不是簡單的推送通知，提示用戶點擊“是”或“允許”批準(zhǔn)登錄嘗試。

5.限制身份驗證請求

限制驗證器應(yīng)用程序中的登錄請求數(shù)量有助于防止即時轟炸或MFA疲勞。但并不是所有的驗證器都提供此功能。

檢查您的MFA驗證器是否允許您限制身份驗證請求；之后，該帳戶將被阻止。

6.圍繞MFA傳播安全意識

如果您經(jīng)營一家公司，預(yù)防MFA疲勞攻擊的最佳方法是安全意識培訓(xùn)。確保您的員工知道MFA疲勞攻擊發(fā)生時是什么樣子的，以及發(fā)生時該怎么辦。此外，他們應(yīng)該能夠發(fā)現(xiàn)釣魚電子郵件，請求他們批準(zhǔn)MFA請求。

定期對員工進行最好的網(wǎng)絡(luò)安全實踐培訓(xùn)，對保護個人賬戶有很大幫助。

不要陷入誤區(qū)

多因素身份驗證為您的帳戶增加了額外的安全層。它將保護您的帳戶，即使威脅者可以訪問您?的登錄憑據(jù)。但您仍應(yīng)小心MFA疲勞攻擊。這可能很煩人，但請不要屈服。

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測管控負責(zé)人。

原文標(biāo)題：??What Is an MFA Fatigue Attack and How Can You Protect Against It????，作者：SANDEEP BABU?