?多年來，企業一直面臨著數據泄露和賬戶接管的問題。其中大部分都是證書泄露的結果。

受到損害的憑證和弱密碼的實例越來越多，這促使企業將多因素身份驗證(MFA)納入其平臺中，增加額外的安全層。

然而近年來，網絡犯罪分子在當前的多因素身份驗證(MFA安全實踐中發現了漏洞，利用客戶信息和敏感的業務細節。

而對多因素身份驗證(MFA最突出的威脅之一就是多因素身份驗證(MFA疲勞攻擊。這種攻擊的目的是向憑據已經受損的用戶發送垃圾郵件，方法是向其發送多因素身份驗證(MFA授權請求，直到他們感到厭煩并意外批準該請求。

讓我們揭示MFA疲勞攻擊的各個方面，以及企業必須如何做好準備來保護敏感的業務和客戶信息。

什么是MFA疲勞發作?　　

多因素身份驗證(MFA)一種用于驗證用戶的基本安全機制。它通過驗證用戶所知道的東西(例如密碼)、他們所擁有的東西(例如物理令牌)和他們擬人的東西(例如指紋)來防止對服務的未經授權的訪問。

然而，這些MFA機制可以被有針對性的攻擊所繞過，如網絡釣魚、惡意軟件和暴力破解，導致賬戶接管和數據泄露。

這種特定的攻擊被稱為“MFA疲勞”，旨在向憑證已被破壞的用戶發送垃圾郵件。然后攻擊者用MFA授權請求轟炸用戶，直到用戶厭煩并意外批準了請求。

為了讓黑客更難猜出密碼，用戶通常需要輸入三個或更多的OTP請求才能進入他們的賬戶。

如果訪問帳戶涉及的因素太多，攻擊者就很容易向每個元素發送垃圾郵件，直到他們找到一個響應時間比平時長的元素。那就是他們真正能夠利用這種認證方法的時候。

企業應該認真對待MFA疲勞攻擊，因為如果MFA疲勞攻擊的目標是他們的員工或用戶/客戶，它可能會導致重大損失，如敏感的業務細節，因為攻擊者可能獲得關鍵信息。

如何降低與MFA疲勞攻擊相關的風險　　

大多數企業依賴MFA的最大問題之一是如何保護員工/用戶免受MFA疲勞攻擊。

讓我們了解組織可以保護自己免受MFA疲勞攻擊的方法:

• 結合自適應身份驗證/基于風險的身份驗證
• 只有通過自適應認證/基于風險的認證，引入先進的多因素認證，才能保證健壯的安全性。

自適應身份驗證/基于風險的身份驗證確保即使包括密碼和OTP在內的多個身份驗證層被破壞，也能識別身份驗證請求中的突然更改，并自動添加另一個嚴格的身份驗證層。

自適應身份驗證可以完美地識別任何潛在的身份驗證風險。它通過分析一個不尋常的登錄嘗試、一個新的訪問地理位置和幾次嘗試，自動加強身份驗證安全性。

企業可以合并自適應身份驗證，并確保他們的員工或客戶免受MFA疲勞攻擊。

員工意識　　

由于人們知道MFA疲勞嘗試是由人為錯誤導致的，因此向企業的員工傳播這一意識可能是保護敏感信息的好方法。

大多數時候，企業的員工在訪問他們的賬戶時，并沒有意識到他們需要注意的一些小事情。從業務數據安全的角度來看，這可能是相當致命的。

企業有關最新威脅、網絡安全衛生和安全措施的培訓課程，可以取得豐碩成果，最大限度地減少各種網絡攻擊，包括MFA疲勞攻擊。

經常培訓員工無疑是確保他們了解所有最新威脅媒介的最好方法，因此可以在發現任何可疑情況時保護自己。

結語　　

MFA為開啟數字化轉型之旅的企業提供了出色的安全保障。然而，這種身份驗證機制的潛在風險(包括MFA疲勞)不可忽視。

在全球范圍內，MFA疲勞攻擊已經影響了企業，并造成了價值數百萬美元的聲譽和財務損失。

上述步驟可以幫助組織確保針對MFA疲勞攻擊的嚴格安全性，從而減少財務和聲譽損失的機會。?