Двухфакторная аутентификация — сильная защита, но один тип атаки не пытается её сломать. Он пытается вас измотать. Это называется MFA-усталость, и знание о её существовании — большая часть защиты.
Как работает атака
Некоторые двухфакторные системы используют push-уведомление: вы входите, и на вашем телефоне появляется запрос с просьбой одобрить или отклонить. Это удобно — одно нажатие.
Атака MFA-усталости злоупотребляет этим удобством. У злоумышленника уже есть ваш пароль, из утечки или фишинга. Он не может войти без второго фактора, поэтому он запускает вход снова и снова. Ваш телефон наполняется запросами одобрения — на работе, поздно ночью, опять и опять. Злоумышленник делает ставку на то, что в итоге вы нажмёте «одобрить» — от замешательства, раздражения или просто чтобы уведомления прекратились. Одно нажатие — всё, что им нужно.
Почему это работает на людях
Это работает, потому что нацелено на человека, а не систему. Технология функционирует правильно всё это время. Атака эксплуатирует раздражение и предположение, что запрос должен означать, что происходит нечто легитимное. Поток запросов поздно ночью дезориентирует, а «просто одобри, чтобы прекратилось» — очень человеческая реакция.
Как от неё защититься
Защиты ясны, когда вы знаете атаку. Первое правило: никогда не одобряйте запрос, который вы лично не начинали. Запрос одобрения, который вы не запускали, не означает «нажми, чтобы убрать его» — он означает, что у кого-то есть ваш пароль, что само по себе и есть тревога. Многие системы теперь используют сопоставление чисел, где вы должны ввести число, показанное на экране входа, а не просто нажать «да» — это полностью побеждает слепое одобрение. Коды приложения-аутентификатора и аппаратные ключи безопасности вообще не уязвимы к спаму запросов.
Что делать, если это происходит
Если начинают приходить запросы, которые вы не запрашивали, не одобряйте ни один из них — и считайте это подтверждением, что ваш пароль скомпрометирован. Смените тот пароль немедленно и смените его везде, где вы его переиспользовали. Сама атака — это предупреждение, что первый фактор уже пал.
Вывод
MFA-усталость не ломает двухфакторную аутентификацию — она пытается заставить вас обойти её за них. Защита — единственное твёрдое правило: никогда не одобряйте запрос входа, который вы не начинали. Неожиданный запрос — это не неудобство, которое нужно убрать; это знак сменить пароль.