MFA Bombing abgewehrt

Schützen Sie sich vor Betrug durch Kontoübernahme ohne MFA Fatigue, indem Sie Eingabeaufforderungen auf ein bestimmtes Zeitfenster eingrenzen, Push-Benachrichtigungen mit Nummernabgleich nutzen, risikobasierte Authentifizierung einsetzen und/oder passwortlos mit FIDO2 arbeiten.

Das MFA Bombing ist eine Taktik (bzw. ein Angriffsvektor), die von böswilligen Akteuren zur Übernahme von Konten eingesetzt wird. Diese manchmal auch als MFA Flooding bezeichnete Methode erzeugt MFA Fatigue und spekuliert auf die Gefühlsreaktionen der Nutzer. Im Grunde genommen missbrauchen die Angreifer die Nutzer, indem sie ihnen massenhaft Push-Benachrichtigungen senden. Viele Nutzer lehnen die Eingabeaufforderungen zunächst ab, ärgern sich aber darüber, dass sie alle paar Sekunden eine neue erhalten und stimmen der Anfrage schließlich zu.

Da die Multi-Faktor-Authentifizierung (MFA) mittlerweile standardmäßig für die Identitätssicherheit von Unternehmen eingesetzt wird, entwickeln die Angreifer ihre Taktiken zur Umgehung der MFA weiter. Viele Unternehmen befürworten den Einsatz von MFA zum Schutz vor Bedrohungen, aber sich auf Benutzer zu verlassen, um Authentifizierungsanfragen manuell zu genehmigen, ist heute riskanter denn je. Selbst Unternehmen, die nicht angegriffen werden, erkennen bald, dass sie an Produktivität ihrer Mitarbeiter und an Umsatz ihrer Kunden verlieren, wenn sie zu oft eine MFA erzwingen. Mehr als 56% der Kunden haben in der Vergangenheit schon einmal ein Konto aufgegeben oder eine Online-Erfahrung abgebrochen, weil Ihnen der Anmeldevorgang zu mühsam war.¹

Wie können Unternehmen trotz Angriffe und Fatigue von den Sicherheitsvorteile einer MFA profitieren? Es gibt vier wichtige Optionen, um das MFA Bombing zu entschärfen. Dies sind, hier in der Reihenfolge ihrer zunehmenden Komplexität, folgende: 

1. MFA-Abfragen auf einen bestimmten Zeitraum begrenzen 

2. Push-Benachrichtigungen mit Nummernabgleich nutzen 

3. Risikobasierte Authentifizierung anwenden

4. Passwortlose Anmeldung mit FIDO2

Begrenzen Sie die Anzahl der Aufforderungen auf ein bestimmtes Zeitfenster

Die einfachste Option, um MFA Bombing zu verhindern, ist das Begrenzen der Aufforderungen, die innerhalb eines bestimmten Zeitfensters an einen Benutzer gesendet werden können. Selbst erfahrene Nutzer werden eine Push-Benachrichtigung möglicherweise erst nach zehnmaliger Aufforderung bestätigen, so dass es hilfreich sein kann, die Anzahl der Aufforderungen beispielsweise auf drei zu begrenzen. Leider muss der Nutzer immer noch auf die Benachrichtigung reagieren, wobei viele bereits den ersten Push bestätigen. Wenn einem Unternehmen keine andere Option bleibt, als die Aufforderungen zu begrenzen, ist dies möglicherweise als vorübergehende Lösung empfehlenswert. 

Push-Benachrichtigungen mit Nummernabgleich

Eine weitere einfache Option, die das MFA Bombing unschädlich machen kann, sind Push-Benachrichtigungen mit Nummernabgleich. Diese Methode erzwingt eine Annäherung, indem sie eine zweistellige Zahl auf dem Gerät angezeigt und den Nutzer auffordert diese aus einer Liste von Optionen auszuwählen. Vielen wird es verdächtig vorkommen, wenn Sie eine Push-Benachrichtigung mit einer Zahl erhalten, die sie nicht auch auf dem zugreifenden Gerät sehen, und sie werden den Angriff melden. Jedoch könnte auch diese MFA-Methode zu Fatigue führen und den Weg für Kontoübernahmen frei machen.

Risikobasierte Authentifizierung

Die risikobasierte Authentifizierung (RBA) bietet abgesehen von der Optimierung von Konfigurationen für MFA Aufforderungen auch die Option, MFA Bombing gezielt zu entschärfen. Sie hält den Bedarf an MFA in Grenzen und passt die Authentifizierungsmethode an die verschiedenen Bedingungen an. Abgesehen von kriminellen Angreifern können auch schwerfällige Authentifizierungsrichtlinien der Grund für MFA Fatigue sein. Die RBA ist anpassungsfähig und hilft bei der Erstellung intelligenter Richtlinien für den Zugriff, ausgehend von Dateneingaben und Risikosignalen. Sie ermöglicht intelligentere Authentifizierungsentscheidungen, indem sie die Verhaltensmuster jedes Benutzers, Geräts, Standorts, Netzwerks usw. erlernt und eine Risikobewertung vornimmt. MFA-Richtlinien verwenden diese Risikobewertung bei der Beurteilung, ob eine Authentifizierung genehmigt oder erschwert werden soll und welcher Methode zu verwenden ist. Wenn der Benutzer beispielsweise versucht, sich von einem bekannten Gerät an einem bekannten Ort anzumelden, ist das Risiko einer Kontoübernahme gering, somit ist keine MFA erforderlich. Erfolgt der Anmeldeversuch jedoch von einem unbekannten Gerät an einem noch nie verwendeten Ort, ist das Betrugsrisiko hoch und erfordert eine MFA über einen QR-Code. 

Mit den richtigen Tools und der richtigen Konfiguration werden weniger risikobehaftete Nutzer keinerlei MFA Fatigue erleben, weder durch einen böswilligen Akteur noch durch das Unternehmen selbst. Wenn die Aufforderungen zur MFA insgesamt seltener werden, ist es weniger wahrscheinlich, dass der Versuch eines Angreifers unbemerkt bleibt. Manche Kunden von Ping Identity haben berichtet, dass die Anzahl der MFA-Aufforderungen durch den Einsatz von RBA um 65% bis 89% gesunken sei.² Informieren Sie sich über das neue RBA-Erkennungstool von Ping, PingOne Protect.

Passwortlose Anmeldung mit FIDO2

FIDO2 (Fast Identity Online), der offene Standard für Public-Key-Kryptografie, ermöglicht die biometrische Authentifizierung von Benutzern mit Sicherheitsschlüsseln oder anderen FIDO-kompatiblen Geräten. Dies gilt im Allgemeinen als die sicherste Art der Authentifizierung, da es die Nähe zwischen dem Benutzer und dem zugreifenden Gerät voraussetzt und dabei Man-in-the-Middle- und Reverse-Proxy-Angriffe verhindert. Vor allem aber ist FIDO2 das A und O einer passwortlosen Erfahrung: hochgradig sicher und gleichzeitig unfassbar benutzerfreundlich.

Trotz dieser Vorteile wurde FIDO2 verhältnismäßig langsam und mit vielen Hindernissen eingeführt. Die meisten dieser Hindernisse waren mit den Kosten und der Komplexität verbunden. Nichtsdestotrotz ist FIDO2 noch immer eine der besten Optionen für das Entschärfen des MFA Bombing.

Hier erfahren Sie, wie Sie die Hürden auf dem Weg zur passwortlosen Anmeldung überwinden.

Das Absichern der Benutzer und ihrer Konten bedeutet nicht, dass sich mit MFA Fatigue abfinden müssen. Es gibt viele sichere und benutzerfreundliche Strategien, um das MFA Bombing unschädlich zu machen, von der Begrenzung der MFA-Aufforderungen innerhalb eines bestimmten Zeitfensters und der Nutzung von Push-Benachrichtigungen mit Nummernabgleich bis hin zur risikobasierten Authentifizierung und dem Verzicht auf Passwörter. Mit diesen Optionen können E-Commerce- und Finanzinstitute die betrügerische Übernahme von Konten verhindern und überragende digitale Online-Erlebnisse bieten. Weitere Informationen dazu finden Sie auf der Seite über Funktionen für den Bedrohungsschutz von Ping.

Quellenangaben:

1. Ping Identity „2021 Consumer Survey: Brand Loyalty is Earned at Login.“

2. Ping Identity, 2023 Customer Verified-Outcomes, Customer Success Program

Über Ping Identity

Ping Identity steht für sichere und reibungslose digitale Unternehmenserfahrungen für alle Nutzer – ohne Kompromisse. Das ist digitale Freiheit. Auf dem Weg zu diesem Ziel werden Sie mit der PingOne Cloud-Plattform zu einem versierten Designer, der außergewöhnliche Online-Journeys erschafft – auf einer einfachen No-Code-Benutzeroberfläche. Sie können eine passwortlose Authentifizierung bereitstellen, die Privatsphäre Ihrer Nutzer schützen, Betrug vorbeugen, eine Architektur für Zero Trust konstruieren und vieles mehr. Weitere Informationen finden Sie auf www.pingidentity.com.