详解MFA疲劳攻击以及防范策略

发布时间：2025-12-07 15:41:21 作者：玩站小弟

我要评论

译者 | 刘涛审校 | 孙淑娟多因素身份验证的推送通知过多？您可能会被黑客利用MFA疲劳攻击作为目标。越来越多的身份验证信息被盗事件迫使公司实施多因素身份验证MFA），以保护员工免受密码被盗的严重影。

译者 | 刘涛

审校 | 孙淑娟

多因素身份验证的详解推送通知过多？您可能会被黑客利用MFA疲劳攻击作为目标。

越来越多的劳攻身份验证信息被盗事件迫使公司实施多因素身份验证（MFA），以保护员工免受密码被盗的击及严重影响。但黑客现在正在进行MFA疲劳攻击，防范以绕过这一附加保护层。策略

那么，详解什么是劳攻MFA疲劳攻击？这些攻击是如何工作的？您能做些什么来保护自己？

什么是MFA疲劳攻击？

MFA疲劳攻击涉及不停地用MFA推送通知攻击帐户所有者，直到他们在心理上崩溃，击及最终同意登录请求。防范

一旦MFA请求被批准，源码下载策略黑客就可以访问用户的详解帐户并随意滥用。

这种攻击的劳攻主要目的是发送源源不断的MFA推送通知，给帐户所有者造成疲劳感。击及

在适当的防范时候，这种MFA疲劳会使帐户所有者无奈或被迫同意登录请求，策略以停止MFA推送通知。

MFA疲劳攻击的工作原理

随着越来越多应用程序和服务采用多因素认证，批准 MFA推送通知可能成为一项常规任务，因为帐户所有者每天需要多次批准 MFA请求。亿华云最终，每日批准 MFA推送通知可能会使帐户所有者失去警惕。

此外， MFA通知不断的攻击可能会使帐户所有者疲惫不堪，从而促使他们批准登录请求，仅仅是为了防止通知打扰。

由于账户持有者经常在智能手机上使用身份验证的应用程序，黑客可以24小时不间断地攻击这些用户，以消磨他们的心理防线。

MFA 疲劳攻击中会发生什么？

MFA疲劳攻击的第一步就是获取用户登录凭证。免费模板有很多破解密码的常用方法，包括钓鱼邮件、蜘蛛爬虫和暴力攻击。

一旦攻击者获得用户的登录凭证，他们就会用双重认证提示对用户进行攻击。

攻击者希望：

用户在登录尝试时会出错。用户将会被持续不断的

MFA的疲劳攻击是自动化的。通常，社会工程结合 MFA的疲劳攻击使攻击成功。建站模板例如，目标用户收到一个请求用户批准 MFA请求的钓鱼邮件。一封网络钓鱼邮件还能告诉目标，在接下来的几天里，随着新安全系统的出现，他们可能会接到一系列 MFA请求。电子邮件还会声明，一旦帐户所有者批准登录， MFA请求就会停止。

如何防止MFA疲劳攻击

以下是一些防止MFA 疲劳攻击的措施：

1.启用附加关联

在MFA请求中启用附加关联可以提供更好的安全性，模板下载并保护您免受MFA疲劳攻击。

MFA请求中的附加关联有助于您了解哪个帐户触发了MFA通知、尝试登录的时间、用于尝试登录的设备以及尝试登录的位置。

如果您在未登录帐户时却看到从陌生位置或设备触发的多个MFA请求，则表明威胁者正在试图向您发送垃圾邮件。您应该立即更改该帐户的密码，并通知您的IT部门该帐户是否与公司网络绑定。云计算

许多MFA应用程序默认启用此功能。如果您的验证器应用程序没有显示关联内容，请查看应用程序的设置，以检查它是否具有允许关联内容的选项。

2. 采用基于风险的认证

使用基于风险验证功能的身份认证程序有助于防御 MFA疲劳攻击。该应用程序能够检测并分析威胁信号，并根据已知攻击模式调整安全需求。

已知的威胁模式包括登录尝试的异常位置，重复登录失败，MFA推送骚扰等等。检查您的 MFA应用程序是否提供基于风险的认证，并保护它免受 MFA推送式垃圾邮件攻击。

3.实现FIDO2认证

任何一家公司采用FIDO2的认证形式，都能预防 MFA的疲劳攻击。

FIDO2为用户提供基于生物特征的更短密码认证和多因素认证。由于您的登录凭证不会离开您的设备，所以它消除了被窃取的风险，使得威胁者无法执行 MFA通知垃圾邮件。

4.禁用推送通知作为验证方法

MFA推送通知功能的目的是提供简单易用的功能。帐户所有者只需点击“是”或者“允许”即可登录它的帐户。

MFA疲劳攻击利用了身份认证的这个功能。在验证器应用程序中禁用这些简单的推送通知作为验证方法，可以有效地提高 MFA的安全性。

以下是一些可以用于验证MFA请求的方法：

数字匹配。挑战与回应。基于时间的一次性密码

使用数字匹配或时间一次性密码作为核实方法的优点是，用户不会意外地批准多边金融协议的要求，他们需要完成核实程序所需要的必要信息。

检查您的身份认证应用程序，以了解哪些 MFA 验证功能可以使用，而不是简单的推送通知，提示用户点击“是”或“允许”批准登录尝试。

5.限制身份验证请求

限制验证器应用程序中的登录请求数量有助于防止即时轰炸或MFA疲劳。但并不是所有的验证器都提供此功能。

检查您的MFA验证器是否允许您限制身份验证请求；之后，该帐户将被阻止。

6.围绕MFA传播安全意识

如果您经营一家公司，预防MFA疲劳攻击的最佳方法是安全意识培训。确保您的员工知道MFA疲劳攻击发生时是什么样子的，以及发生时该怎么办。此外，他们应该能够发现钓鱼电子邮件，请求他们批准MFA请求。

定期对员工进行最好的网络安全实践培训，对保护个人账户有很大帮助。

不要陷入误区

多因素身份验证为您的帐户增加了额外的安全层。它将保护您的帐户，即使威胁者可以访问您的登录凭据。但您仍应小心MFA疲劳攻击。这可能很烦人，但请不要屈服。

译者介绍

刘涛，51CTO社区编辑，某大型央企系统上线检测管控负责人。

原文标题：What Is an MFA Fatigue Attack and How Can You Protect Against It?，作者：SANDEEP BABU

Tag：

LockBit 勒索软件利用 Citrix Bleed 进行攻击，10K 服务器暴露
据BleepingComputer 11月14日消息，Lockbit 勒索软件正利用 Citrix Bleed已公开的漏洞 (CVE-2023-4966) 来破坏大型企业系统、窃取数据并加密文件。该组
2025-12-07
受 Log4j 等安全因素影响，40% 的业内人士缩减了开源使用规模
数据科学公司 Anaconda 最新发布的一项 2022 数据科学状况调查报告指出，大约 40% 的行业专业人士表示，出于对安全性的担忧，他们的组织减少了对开源软件的使用。该调查持续时间为 202
2025-12-07
数据安全：元数据管理分步指南
需要元数据管理组织中有效的元数据管理为数据提供正确的上下文和描述。此外，为了理解和信任数据，需要了解其背景——数据是如何产生的，以及是如何使用的。此外，需要知道基于这些数据做出的决策是什么，以及如何利
2025-12-07
人工智能如何在2022年增强企业的勒索软件防御能力？
勒索软件正在成为对个人和企业的严重威胁，但人工智能可以帮助减轻它。人为操作的勒索软件攻击使威胁参与者使用某些方法进入您的设备。他们依靠动手键盘活动来进入您的网络。AI可以在发生这些和其他攻击时保护您。
2025-12-07
涉及美国海岸警卫队，法国国防技术制造商 Exail暴露了数据库访问权限
Cybernews 研究团队发现，法国高科技工业集团 Exail 暴露了一个带有数据库凭证的可公开访问的环境 (.env) 文件。Exail于 2022 年由 ECA Group 和 iXblue 合
2025-12-07
借助DDoS，LockBit勒索软件正变得更加凶险
据Bleeping Computer网站8月28日消息，LockBit 勒索软件团伙宣布，他们正着手改进对分布式拒绝服务 (DDoS) 攻击的防御，以应对来自安全机构的攻击，并借此来大力提高自身勒索能
2025-12-07