?多年來，企業(yè)一直面臨著數(shù)據(jù)泄露和賬戶接管的問題。其中大部分都是證書泄露的結(jié)果。

受到損害的憑證和弱密碼的實例越來越多，這促使企業(yè)將多因素身份驗證(MFA)納入其平臺中，增加額外的安全層。

然而近年來，網(wǎng)絡(luò)犯罪分子在當前的多因素身份驗證(MFA安全實踐中發(fā)現(xiàn)了漏洞，利用客戶信息和敏感的業(yè)務(wù)細節(jié)。

而對多因素身份驗證(MFA最突出的威脅之一就是多因素身份驗證(MFA疲勞攻擊。這種攻擊的目的是向憑據(jù)已經(jīng)受損的用戶發(fā)送垃圾郵件，方法是向其發(fā)送多因素身份驗證(MFA授權(quán)請求，直到他們感到厭煩并意外批準該請求。

讓我們揭示MFA疲勞攻擊的各個方面，以及企業(yè)必須如何做好準備來保護敏感的業(yè)務(wù)和客戶信息。

什么是MFA疲勞發(fā)作?　　

多因素身份驗證(MFA)一種用于驗證用戶的基本安全機制。它通過驗證用戶所知道的東西(例如密碼)、他們所擁有的東西(例如物理令牌)和他們擬人的東西(例如指紋)來防止對服務(wù)的未經(jīng)授權(quán)的訪問。

然而，這些MFA機制可以被有針對性的攻擊所繞過，如網(wǎng)絡(luò)釣魚、惡意軟件和暴力破解，導(dǎo)致賬戶接管和數(shù)據(jù)泄露。

這種特定的攻擊被稱為“MFA疲勞”，旨在向憑證已被破壞的用戶發(fā)送垃圾郵件。然后攻擊者用MFA授權(quán)請求轟炸用戶，直到用戶厭煩并意外批準了請求。

為了讓黑客更難猜出密碼，用戶通常需要輸入三個或更多的OTP請求才能進入他們的賬戶。

如果訪問帳戶涉及的因素太多，攻擊者就很容易向每個元素發(fā)送垃圾郵件，直到他們找到一個響應(yīng)時間比平時長的元素。那就是他們真正能夠利用這種認證方法的時候。

企業(yè)應(yīng)該認真對待MFA疲勞攻擊，因為如果MFA疲勞攻擊的目標是他們的員工或用戶/客戶，它可能會導(dǎo)致重大損失，如敏感的業(yè)務(wù)細節(jié)，因為攻擊者可能獲得關(guān)鍵信息。

如何降低與MFA疲勞攻擊相關(guān)的風(fēng)險　　

大多數(shù)企業(yè)依賴MFA的最大問題之一是如何保護員工/用戶免受MFA疲勞攻擊。

讓我們了解組織可以保護自己免受MFA疲勞攻擊的方法:

• 結(jié)合自適應(yīng)身份驗證/基于風(fēng)險的身份驗證
• 只有通過自適應(yīng)認證/基于風(fēng)險的認證，引入先進的多因素認證，才能保證健壯的安全性。

自適應(yīng)身份驗證/基于風(fēng)險的身份驗證確保即使包括密碼和OTP在內(nèi)的多個身份驗證層被破壞，也能識別身份驗證請求中的突然更改，并自動添加另一個嚴格的身份驗證層。

自適應(yīng)身份驗證可以完美地識別任何潛在的身份驗證風(fēng)險。它通過分析一個不尋常的登錄嘗試、一個新的訪問地理位置和幾次嘗試，自動加強身份驗證安全性。

企業(yè)可以合并自適應(yīng)身份驗證，并確保他們的員工或客戶免受MFA疲勞攻擊。

員工意識　　

由于人們知道MFA疲勞嘗試是由人為錯誤導(dǎo)致的，因此向企業(yè)的員工傳播這一意識可能是保護敏感信息的好方法。

大多數(shù)時候，企業(yè)的員工在訪問他們的賬戶時，并沒有意識到他們需要注意的一些小事情。從業(yè)務(wù)數(shù)據(jù)安全的角度來看，這可能是相當致命的。

企業(yè)有關(guān)最新威脅、網(wǎng)絡(luò)安全衛(wèi)生和安全措施的培訓(xùn)課程，可以取得豐碩成果，最大限度地減少各種網(wǎng)絡(luò)攻擊，包括MFA疲勞攻擊。

經(jīng)常培訓(xùn)員工無疑是確保他們了解所有最新威脅媒介的最好方法，因此可以在發(fā)現(xiàn)任何可疑情況時保護自己。

結(jié)語　　

MFA為開啟數(shù)字化轉(zhuǎn)型之旅的企業(yè)提供了出色的安全保障。然而，這種身份驗證機制的潛在風(fēng)險(包括MFA疲勞)不可忽視。

在全球范圍內(nèi)，MFA疲勞攻擊已經(jīng)影響了企業(yè)，并造成了價值數(shù)百萬美元的聲譽和財務(wù)損失。

上述步驟可以幫助組織確保針對MFA疲勞攻擊的嚴格安全性，從而減少財務(wù)和聲譽損失的機會。?