Skydda dina användare från MFA-fatigue

MFA-fatigue (trötthet), även känd som multifaktorautentiserings-fatigue, är en term som används för att beskriva den frustration och irritation som kan uppstå när en användare ständigt måste ange olika faktorer för att verifiera sin identitet.

MFA, eller multifaktorautentisering, är en säkerhetsmetod som kräver att användaren verifierar sin identitet genom flera olika faktorer, såsom lösenord, fingeravtryck, ansiktsigenkänning eller en säkerhetsnyckel. För att öka säkerheten och undvika att bli utsatt för cyberangrepp är MFA en av de åtgärder vi rekommenderar våra kunder att slå på för sina användare. Däremot skall man vara medveten om att även om MFA är aktivt är det inte ett garanterat skydd då den mänskliga faktorn även spelar en stor roll. MFA-fatigue är endast styrt av den mänskliga faktorn och kan uppstå när en användare ständigt måste ange olika faktorer för att få tillgång till olika system och tjänster.

MFA spam – en säkerhetsrisk 

MFA-fatigue kan vara ett stort problem för företag och organisationer som använder MFA för att skydda sin säkerhet. Om användarna blir frustrerade över att ständigt måste verifiera sin identitet kan det leda till att de väljer att inte använda MFA eller att de använder det på ett oansvarigt sätt, vilket kan öka risken för säkerhetsincidenter.

Vi ser att många verksamheter börjar ta sitt ansvar och aktiver MFA på sina system, vilket är bra. Dock har ökad användning av stark autentisering även lett till att användarna förlitar sig helt på att det är säkert. En MFA-fatigue attack riktar sig mot användare som använder MFA och hoppas på att användaren skall autentisera sig utan att dem är medvetna om sammanhanget eller syftet att autentisera sig. Microsoft Authenticator är den vanligaste metoden för MFA och Microsofts egna studier visar på att ca. 1 % av användarna som använder MFA kommer att godkänna en begäran på första försöket utan att förstå sammanhanget.

Motverka MFA-fatigue attacker

Det finns flera olika sätt att hantera MFA-fatigue. En metod är att se till att användarna har enkel och snabb åtkomst till MFA-verifiering. Detta kan innebära att man erbjuder flera olika MFA-metoder att välja mellan, så att användarna kan välja den som passar dem bäst. Det kan också innebära att man använder en MFA-lösning som är enkel att använda och som inte kräver att användaren ständigt måste ange olika faktorer.

Microsofts Authenticator har infört number matching som kräver att användaren måste fylla i den tvåsiffriga kod som syns på skärmen i sin authenticator app. Har användaren själv inte startat inloggningsförsöket får ”hackern” inte tillgång till den tvåsiffriga koden om den inte delas i en annan kommunikationskanal.Motverka MFA fatigue - Matching number

En annan metod för att hantera MFA-fatigue är att se till att användarna har tillräckligt med utbildning och support för att förstå varför MFA är viktigt och hur de kan använda det på ett säkert sätt. Genom att ge användarna den information och support de behöver kan man hjälpa dem att förstå vikten av MFA och göra det lättare för dem att använda det utan att bli frustrerade.

Slutligen kan det också vara bra att se över MFA-policyerna och se till att de är rimliga och anpassade till användarnas behov. Zitac har tagit fram säkerhet 1.0 med rekommenderade säkerhetsåtgärder för din verksamhet för att undvika säkerhetsincidenter. Vi ser att MFA-fatigue är ett stort hot mot företag och organisationer och även om MFA är en rekommenderad säkerhetsåtgärd behöver vi se till att det används på rätt sätt.

Boka rådgivning med någon av våra säkerhetsexperter för att ta del av våra rekommenderade säkerhetsåtgärder i säkerhet 1.0
IT-rådgivning > 

 


Fler bra länkar för MFA-fatigue

Microsoft: Defend your users from MFA fatigue attacks

Microsoft Digital Defense Report 2022