防止 MFA 疲惫的策略

关键要点

随着多因素认证MFA在大多数组织中成为标准，攻击者也开始寻找创意方式来渗透账户，绕过 MFA 障碍。本文将探讨 MFA 疲惫的概念，介绍四种防止 MFA 疲惫的方法，突显每种方法的优缺点。

随着 MFA 的广泛应用，攻击者已开始利用 MFA 疲惫，即通过向用户发送多次推送通知来干扰用户的判断。大多数用户在收到多次请求后，为了停止干扰而选择批准认证请求，这种情况为攻击者提供了可趁之机。以下是防止 MFA 疲惫的四种方法。

什么是 MFA 疲惫？

攻击者在意识到这一薄弱环节后，通过向用户发送多次推送通知来利用这一点。一些用户可能在首次尝试时就批准认证，而其他人可能会一开始拒绝。但大多数用户在接到多次请求后，为了停止应用程序每隔几秒就发出的通知，最终会批准认证。

防止 MFA 疲惫的四种方法

FIDO2 认证

FIDO2 被认为是最安全的认证方式。它提供了良好的用户体验，同时强制要求用户与访问设备保持一定的接近性，能够有效防止中间人攻击和 Modlishka 攻击。FIDO2 提供无用户名和无密码的体验。

然而，FIDO2 的普及较慢，主要原因是需要为每位用户配备 FIDO 认证器，这涉及到使用带有平台生物识别功能的计算机绑定认证器，如 Windows Hello 或 Mac TouchID。另一种选择是为每位用户提供安全密钥不绑定认证器，这增加了分发、追踪和管理硬件设备的负担。以上选项的成本也是许多公司面临的障碍。对于绑定认证器而言，一旦用户更换计算机，原有的认证器将失效；而不绑定认证器则容易被遗忘，用户可能在等待新安全密钥期间被锁定。值得庆幸的是，通行证密钥 将解决绑定生物识别问题。尽管许多人认为 FIDO 能抵御所有攻击，Ping Identity 工程团队在 2022 年 Identiverse 会议上提出此方法也存在脆弱性。

限制推送通知数量

限制短时间内的推送通知次数可以减少人为错误的机会。用户在收到更多推送通知时，批准他们未发起的认证请求的概率会增加。

即使是经过培训的用户，也可能在接到 10 次通知后才批准，因此限制通知次数比如限制为三次可能会有所帮助。但这仍然需要用户决定如何回应前三次通知，大部分用户在收到的第一条推送通知时通常会选择批准。这种方法可能是当前环境下唯一可行的方案，但应该视为临时解决方案。

使用带数字选择的推送通知

这种方法通过在用户的设备上呈现一个两位数的数字，并要求用户从移动应用上提供的三个数字中选择正确的数字，从而使用推送通知并强迫用户与设备保持接近。如果用户选择了正确的数字，则认证通过。

这种方法比单纯的推送批准更为安全，因为如果推送来自欺诈者，真正的用户并不会看到需要选择的认证页面。但对许多用户来说，看到带有三个数字的推送而没有看到访问设备上的数字会觉得奇怪，他们也会避免按下其中一个数字。

然而，在这种情况下，用户可能依然会感到 MFA 疲惫而按下其中一个数字，以停止干扰。这仍然有 333 的机会会让欺诈者得逞。

风险基础认证RBA

RBA 的目的是根据不同条件在需要时强制适当的 MFA 方法。例如，用户是从他们常用的设备登录吗？用户正在访问哪个应用程序？他们的位置在哪里？

MFA 疲惫不仅可能是欺诈者使用用户凭证进行登录时引起的，也可能是组织自身造成的。频繁进行 MFA 的用户往往将其视为一项令人烦恼的任务。

通过处理标准 MFA 不处理的信号，R