多年來(lái)，企業(yè)一直面臨數(shù)據(jù)泄露和賬戶(hù)接管事件。其中大多數(shù)是憑據(jù)受損的結(jié)果。

越來(lái)越多的憑據(jù)和弱密碼實(shí)例促使組織將多因素身份驗(yàn)證 (MFA) 整合到其平臺(tái)中，從而增加了額外的安全層。

然而，在過(guò)去的幾年里，網(wǎng)絡(luò)犯罪分子發(fā)現(xiàn)了當(dāng)前 MFA 安全實(shí)踐中的漏洞，用于利用客戶(hù)信息和敏感的業(yè)務(wù)細(xì)節(jié)。

MFA 最突出的威脅之一是 MFA 疲勞攻擊。此攻擊旨在向其憑據(jù)已被泄露的用戶(hù)發(fā)送垃圾郵件，方法是使用 MFA 授權(quán)請(qǐng)求轟炸用戶(hù)，直到他們感到惱火并意外批準(zhǔn)該請(qǐng)求。

讓我們揭示 MFA 疲勞攻擊的各個(gè)方面，以及企業(yè)必須如何準(zhǔn)備好保護(hù)敏感的業(yè)務(wù)和客戶(hù)信息。

什么是 MFA 疲勞攻擊？

MFA（多因素身份驗(yàn)證）是用于驗(yàn)證用戶(hù)的基本安全機(jī)制。它通過(guò)用戶(hù)知道的東西（例如密碼）、他們擁有的東西（例如物理令牌）和他們擬人化的東西（例如指紋）來(lái)驗(yàn)證用戶(hù)，從而防止對(duì)服務(wù)的未經(jīng)授權(quán)的訪(fǎng)問(wèn)。

但是，這些 MFA 機(jī)制可以被網(wǎng)絡(luò)釣魚(yú)、惡意軟件和暴力破解等有針對(duì)性的攻擊繞過(guò)，從而導(dǎo)致帳戶(hù)接管和數(shù)據(jù)泄露。

這種被稱(chēng)為“MFA 疲勞”的特定攻擊旨在向其憑據(jù)已被泄露的用戶(hù)發(fā)送垃圾郵件。然后攻擊者用 MFA 授權(quán)請(qǐng)求轟炸用戶(hù)，直到他們生氣并意外批準(zhǔn)請(qǐng)求。

為了讓黑客更難猜出代碼，用戶(hù)通常需要輸入三個(gè)或更多的 OTP 請(qǐng)求才能訪(fǎng)問(wèn)他們的帳戶(hù)。

如果訪(fǎng)問(wèn)您的帳戶(hù)涉及太多因素，那么攻擊者很容易向每個(gè)元素發(fā)送垃圾郵件，直到他們找到您的響應(yīng)時(shí)間比平時(shí)長(zhǎng)的元素。那時(shí)他們才真正能夠利用這種身份驗(yàn)證方法。

企業(yè)應(yīng)該認(rèn)真對(duì)待 MFA 疲勞攻擊，因?yàn)槿绻?MFA 疲勞攻擊針對(duì)他們的員工或用戶(hù)/客戶(hù)，它可能會(huì)導(dǎo)致大量損失，例如敏感的業(yè)務(wù)細(xì)節(jié)，因?yàn)楣粽呖赡軙?huì)獲得對(duì)關(guān)鍵信息的訪(fǎng)問(wèn)權(quán)限。

如何減輕與 MFA 疲勞攻擊相關(guān)的風(fēng)險(xiǎn)

大多數(shù)企業(yè)依賴(lài) MFA 的最大問(wèn)題之一是他們?nèi)绾伪Ｗo(hù)員工/用戶(hù)免受越來(lái)越多的 MFA 疲勞攻擊。

讓我們了解組織如何保護(hù)自己免受 MFA 疲勞攻擊：

結(jié)合自適應(yīng)身份驗(yàn)證/基于風(fēng)險(xiǎn)的身份驗(yàn)證

確保強(qiáng)大安全性的唯一方法是通過(guò)自適應(yīng)身份驗(yàn)證/基于風(fēng)險(xiǎn)的身份驗(yàn)證結(jié)合高級(jí)多因素身份驗(yàn)證。

自適應(yīng)身份驗(yàn)證/基于風(fēng)險(xiǎn)的身份驗(yàn)證確保即使包括密碼和 OTP 在內(nèi)的多層身份驗(yàn)證受到破壞，身份驗(yàn)證請(qǐng)求的突然變化也會(huì)被識(shí)別，并自動(dòng)添加另一個(gè)嚴(yán)格的身份驗(yàn)證層。

自適應(yīng)身份驗(yàn)證可以完美地識(shí)別任何潛在的身份驗(yàn)證風(fēng)險(xiǎn)。它通過(guò)分析不尋常的登錄嘗試、新的訪(fǎng)問(wèn)地理位置和多次嘗試來(lái)自動(dòng)增強(qiáng)身份驗(yàn)證安全性。

企業(yè)可以結(jié)合自適應(yīng)身份驗(yàn)證并確保其員工或客戶(hù)免受 MFA 疲勞攻擊。

員工意識(shí)

由于我們知道 MFA 疲勞嘗試是由人為錯(cuò)誤造成的，因此向您的員工宣傳同樣的問(wèn)題可能是保護(hù)您的敏感信息的好方法。

大多數(shù)時(shí)候，您的員工在訪(fǎng)問(wèn)他們的帳戶(hù)時(shí)并沒(méi)有意識(shí)到他們需要處理的一些小事。從業(yè)務(wù)數(shù)據(jù)安全的角度來(lái)看，這可能是非常致命的。

組織有關(guān)最新威脅、網(wǎng)絡(luò)安全衛(wèi)生和安全措施的培訓(xùn)課程可以產(chǎn)生豐碩的成果，并最大限度地減少各種網(wǎng)絡(luò)攻擊，包括 MFA 疲勞攻擊。

經(jīng)常培訓(xùn)您的員工無(wú)疑是確保他們了解所有最新威脅媒介的最佳方式，因此如果他們發(fā)現(xiàn)任何可疑情況可以保護(hù)自己。

綜上所述

MFA 為開(kāi)始數(shù)字化轉(zhuǎn)型之旅的企業(yè)提供了出色的安全保障。但是，不能忽視這種身份驗(yàn)證機(jī)制的潛在風(fēng)險(xiǎn)，包括 MFA 疲勞。

在全球范圍內(nèi)，MFA 疲勞攻擊已經(jīng)影響了企業(yè)，并造成了價(jià)值數(shù)百萬(wàn)美元的聲譽(yù)和財(cái)務(wù)損失。

上述步驟可以幫助組織確保針對(duì) MFA 疲勞攻擊的嚴(yán)格安全性，從而減少財(cái)務(wù)和聲譽(yù)損失的機(jī)會(huì)。