阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

什么是MFA疲劳攻击以及防范策略

88次阅读
没有评论

共计 2217 个字符,预计需要花费 6 分钟才能阅读完成。

导读 多因素身份验证的推送通知过多?您可能会被客利用 MFA 疲劳攻击作为目标。

译者 | 刘涛

审校 | 孙淑娟

​多因素身份验证的推送通知过多?您可能会被黑客利用 MFA 疲劳攻击作为目标。

什么是 MFA 疲劳攻击以及防范策略

越来越多的身份验证信息被盗事件迫使公司实施多因素身份验证(MFA),以保护员工免受密码被盗的严重影响。但黑客现在正在进行 MFA 疲劳攻击,以绕过这一附加保护层。

那么,什么是 MFA 疲劳攻击?这些攻击是如何工作的?您能做些什么来保护自己?

什么是 MFA 疲劳攻击?

MFA 疲劳攻击涉及不停地用 MFA 推送通知攻击帐户所有者,直到他们在心理上崩溃,最终同意登录请求。

一旦 MFA 请求被批准,黑客就可以访问用户的帐户并随意滥用。

这种攻击的主要目的是发送源源不断的 MFA 推送通知,给帐户所有者造成疲劳感。

在适当的时候,这种 MFA 疲劳会使帐户所有者无奈或被迫同意登录请求,以停止 MFA 推送通知。

MFA 疲劳攻击的工作原理

随着越来越多应用程序和服务采用多因素认证,批准 MFA 推送通知可能成为一项常规任务,因为帐户所有者每天需要多次批准 MFA 请求。最终,每日批准 MFA 推送通知可能会使帐户所有者失去警惕。

此外,MFA 通知不断的攻击可能会使帐户所有者疲惫不堪,从而促使他们批准登录请求,仅仅是为了防止通知打扰。

由于账户持有者经常在智能手机上使用身份验证的应用程序,黑客可以 24 小时不间断地攻击这些用户,以消磨他们的心理防线。

MFA 疲劳攻击中会发生什么?

MFA 疲劳攻击的第一步就是获取用户登录凭证。有很多破解密码的常用方法,包括钓鱼邮件、蜘蛛爬虫和暴力攻击。

一旦攻击者获得用户的登录凭证,他们就会用双重认证提示对用户进行攻击。

攻击者希望:

  • 用户在登录尝试时会出错。
  • 用户将会被持续不断的

MFA 的疲劳攻击是自动化的。通常,社会工程结合 MFA 的疲劳攻击使攻击成功。例如,目标用户收到一个请求用户批准 MFA 请求的钓鱼邮件。一封网络钓鱼邮件还能告诉目标,在接下来的几天里,随着新安全系统的出现,他们可能会接到一系列 MFA 请求。电子邮件还会声明,一旦帐户所有者批准登录,MFA 请求就会停止。

如何防止 MFA 疲劳攻击

以下是一些防止 MFA 疲劳攻击的措施:

以下是一些防止 MFA 疲劳攻击的措施:

1. 启用附加关联

在 MFA 请求中启用附加关联可以提供更好的安全性,并保护您免受 MFA 疲劳攻击。

M​FA 请求中的附加关联有助于您了解哪个帐户触发了 MFA 通知、尝试登录的时间、用于尝试登录的设备以及尝试登录的位置。

如果您在未登录帐户时却看到从陌生位置或设备触发的多个 MFA 请求,则表明威胁者正在试图向您发送垃圾邮件。您应该立即更改该帐户的密码,并通知您的 IT 部门该帐户是否与公司网络绑定。

许多 MFA 应用程序默认启用此功能。如果您的验证器应用程序没有显示关联内容,请查看应用程序的设置,以检查它是否具有允许关联内容的选项。

2. 采用基于风险的认证

使用基于风险验证功能的身份认证程序有助于防御 MFA 疲劳攻击。该应用程序能够检测并分析威胁信号,并根据已知攻击模式调整安全需求。

已知的威胁模式包括登录尝试的异常位置,重复登录失败,MFA 推送骚扰等等。检查您的 MFA 应用程序是否提供基于风险的认证,并保护它免受 MFA 推送式垃圾邮件攻击。

3. 实现 FIDO2 认证

任何一家公司采用 FIDO2 的认证形式,都能预防 MFA 的疲劳攻击。

FIDO2 为用户提供基于生物特征的更短密码认证和多因素认证。由于您的登录凭证不会离开您的设备,所以它消除了被窃取的风险,使得威胁者无法执行 MFA 通知垃圾邮件。

4. 禁用推送通知作为验证方法

MFA 推送通知功能的目的是提供简单易用的功能。帐户所有者只需点击“是”或者“允许”即可登录它的帐户。

MFA 疲劳攻击利用了身份认证的这个功能。在验证器应用程序中禁用这些简单的推送通知作为验证方法,可以有效地提高 MFA 的安全性。

以下是一些可以用于验证 MFA 请求的方法:

  • 数字匹配。
  • 挑战与回应。
  • 基于时间的一次性密码

使用数字匹配或时间一次性密码作为核实方法的优点是,用户不会意外地批准多边金融协议的要求,他们需要完成核实程序所需要的必要信息。

检查您的身份认证应用程序,以了解哪些 MFA 验证功能可以使用,而不是简单的推送通知,提示用户点击“是”或“允许”批准登录尝试。

5. 限制身份验证请求

限制验证器应用程序中的登录请求数量有助于防止即时轰炸或 MFA 疲劳。但并不是所有的验证器都提供此功能。

检查您的 MFA 验证器是否允许您限制身份验证请求;之后,该帐户将被阻止。

6. 围绕 MFA 传播安全意识

如果您经营一家公司,预防 MFA 疲劳攻击的最佳方法是安全意识培训。确保您的员工知道 MFA 疲劳攻击发生时是什么样子的,以及发生时该怎么办。此外,他们应该能够发现钓鱼电子邮件,请求他们批准 MFA 请求。

定期对员工进行最好的网络安全实践培训,对保护个人账户有很大帮助。

不要陷入误区

多因素身份验证为您的帐户增加了额外的安全层。它将保护您的帐户,即使威胁者可以访问您​的登录凭据。但您仍应小心 MFA 疲劳攻击。这可能很烦人,但请不要屈服。

译者介绍
刘涛,51CTO 社区编辑,某大型央企系统上线检测管控负责人。

原文标题:​​What Is an MFA Fatigue Attack and How Can You Protect Against It?​​​,作者:SANDEEP BABU​

阿里云 2 核 2G 服务器 3M 带宽 61 元 1 年,有高配

腾讯云新客低至 82 元 / 年,老客户 99 元 / 年

代金券:在阿里云专用满减优惠券

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2024-07-24发表,共计2217字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中