多因素身份驗證疲勞：通知轟炸攻擊及其應對方法

你聽過過多因素身份驗證疲勞或通知轟炸攻擊嗎？如果沒有，你應該繼續閱讀。 了解這種新策略以及網路犯罪分子如何使用它這樣，如果你不幸遭遇 MFA 疲勞攻擊，你就知道該怎麼做了。

多因素疲勞：多因素疲勞發作的特徵是什麼？

多因素身份驗證（MFA）已成功用於加強數位安全一段時間了。很明顯， 單靠密碼已不足以提供足夠的保護。現在必須增加第二層（甚至第三層）驗證：簡訊、推播通知或實體鑰匙。

對了，你們的使用者帳號是否已經啟用多因素身份驗證？如果您不太了解這方面的內容，可以閱讀這篇文章。 這就是兩步驟驗證的工作原理，您應該立即啟動它以提高您的安全性。然而，儘管它代表了一種非常有效的額外措施， 外交部並非完美無缺最近發生的 MFA 疲勞攻擊（也稱為通知轟炸攻擊）已經非常清楚地表明了這一點。

什麼是MFA疲勞？想像一下這個場景：夜已深，你正舒服地躺在沙發上看你最喜歡的節目。突然，你的手機開始不停地震動。你看向螢幕，發現一則又一條通知：「您是想登入嗎？你忽略了第一點和第二點；但是 同樣的通知不斷湧入：幾十條！ 在沮喪之下，為了讓敲擊聲停止，你按下了「批准」。

通知轟炸攻擊的工作原理

你剛剛經歷了一次多因素身份驗證疲勞症發作。但這怎麼可能呢？

1. 網路犯罪分子不知何故取得了您的使用者名稱和密碼。
2. 然後 重複嘗試登入 在您使用的某些服務中，身分驗證系統會自然會向您的多因素身份驗證 (MFA) 應用程式發送推播通知。
3. 當攻擊者使用某些自動化工具時，問題就出現了： 它會在短短幾分鐘內產生數十次甚至數百次登入嘗試。.
4. 這會導致你的手機收到大量要求批准的通知。
5. 為了阻止鋪天蓋地的通知，你點擊了 “批准” 就這樣，攻擊者控制了你的帳戶。

它為何如此有效？

多因素身份驗證疲勞的目標並非戰勝技術，而是尋求… 耗盡你的耐心和常識仔細想想，人為因素才是保障你安全的最薄弱環節。這就是為什麼鋪天蓋地的通知旨在讓你應接不暇、不知所措、猶豫不決……直到你誤觸按鈕。而這一切，只需要輕輕一點。

MFA疲勞之所以如此有效，其中一個原因是： 批准推播通知非常簡單。只需輕觸一下，通常甚至無需解鎖手機。有時，這可能是讓設備恢復正常的最簡單方法。

如果情況更糟， 攻擊者會冒充技術支援人員與您聯絡。他們很可能會主動提供“幫助”來解決“問題”，並敦促您批准該通知。 2021 年針對微軟的攻擊就是如此，攻擊者冒充 IT 部門欺騙了受害者。

多因素身份驗證疲勞：通知轟炸攻擊及其應對方法

那麼，有沒有辦法避免多因素身份驗證疲勞呢？幸運的是，有一些最佳實踐可以有效應對通知轟炸。這些實踐並不需要取消多因素身份驗證，而是… 更聰明地實施它下面列出的是最有效的措施。

永遠不要批准你沒有請求的通知。

無論你多麼疲憊或沮喪， 絕不應該批准你未請求的通知。這是防止任何試圖誘騙你陷入多因素身份驗證疲勞的黃金法則。如果你並非試圖登入某個服務，任何多因素身份驗證通知都值得懷疑。

在這方面，也值得記住的是： 沒有任何服務會主動聯絡您「幫助」您解決「問題」。如果聯絡方式是社群網路或即時通訊應用程式（例如 WhatsApp），則更應如此。任何可疑通知都應立即報告給公司或服務的 IT 或安全部門。

避免僅使用推播通知作為多因素身份驗證 (MFA) 的方法。

是的，推播通知很方便，但它們也容易受到這類攻擊。 最好使用更穩健的方法。 作為雙重認證的一部分。例如：

• TOTP 程式碼 （基於時間的一次性密碼），由諸如 Google Authenticator 之類的應用程式產生。 奧蒂。
• 物理安全密鑰例如 尤比鑰匙 或 Titan 安全金鑰。
• 基於號碼的身份驗證使用這種方法，您必須輸入登入畫面上顯示的數字，這樣可以防止自動批准。

對身份驗證嘗試次數實施限制和警報

檢查您使用的身份驗證系統並 啟用嘗試次數限制和警報由於報告的多因素身份驗證（MFA）疲勞案例越來越多，越來越多的MFA系統正在提供以下選項：

• 暫時阻止嘗試 在連續多次被拒後。
• 發送警報 如果在短時間內偵測到多個通知，則通知安全團隊。
• 註冊和審計 所有身份驗證嘗試均用於後續分析（訪問歷史記錄）。
• 需要第二個更強的因素 如果登入嘗試來自不尋常的位置。
• 自動阻止訪問 如果使用者的行為異常。

總之，保持警惕！ 啟用多因素身份驗證仍然是一項至關重要的措施。 為了保護您的網路安全。但不要以為這是一道不可逾越的屏障。如果您能訪問，那麼任何人只要設法欺騙您就能訪問。這就是為什麼攻擊者會盯上您：他們會想辦法騷擾您，直到您讓他們得逞。

不要陷入多因素身份驗證疲勞陷阱！不要屈服於通知轟炸。 舉報任何可疑請求，並啟用額外的限制和警報。這樣一來，攻擊者的堅持不懈就不可能讓你抓狂，讓你按下錯誤的按鈕。