Är push 2FA fortfarande säker?

Ja om den använder nummermatchning eller geokontextverifiering, vilket de flesta större leverantörer nu kräver som standard. Vanliga "godkänna/neka"-uppmaningar utan nummermatchning förblir MFA-trötthetssårbara. Kontrollera inställningarna för din autentiseringsapp – om den bara visar en knapp, välj nummermatchning där alternativet finns.

Är SMS-koder säkrare än push-meddelanden?

Olika hotmodeller. SMS är sårbart för SIM-byte och avlyssning; push 2FA är sårbart för MFA-trötthet när den implementeras naivt. Modern push med nummermatchning är meningsfullt säkrare än SMS. Hårdvaranycklar slår båda.

Varför skulle en användare godkänna en prompt som de inte initierade?

Irritation, förvirring, social press. En användare som får 50 uppmaningar på 10 minuter antar att något är trasigt och trycker för att få det att sluta. Lägg till ett telefonsamtal från någon som påstår sig vara IT, och även försiktiga användare godkänner det ibland. Kognitiv belastning + skriptad manipulation fungerar.

Kan MFA trötthet fungera utan lösenordet?

Nej – angriparen behöver arbetsuppgifter först för att utlösa uppmaningarna. Försvarslagret nedan är starka unika lösenord + intrångsövervakning. Om ditt lösenord inte redan finns i angriparnas händer kan MFA-tröttheten inte starta.

Ska vi bara ta bort push 2FA?

Inte nödvändigt om det implementeras väl. Versionen med nummermatchning är tillräckligt robust för de flesta hotmodeller. Att ta bort push och återgå till TOTP-only är friktionstungt; för samma konton är maskinvarunycklar vanligtvis den bättre uppgraderingsvägen.

MFA trötthetsattacker förklaras: Hur angripare kommer förbi dina push-meddelanden

Push-baserad multifaktorautentisering är bekvämt — tryck på "godkänn" på din telefon och du är med. Det skapade också ett attackmönster som kallas MFA-trötthet, där en angripare som har lösenordet översvämmar dig med push-meddelanden tills du trycker på ja bara för att få dem att sluta. Uber- och Cisco-brotten 2022 började båda på detta sätt.

Hela artikeltexten finns på engelska nedan.

MFA fatigue (även kallad MFA-bombning eller promptbombning) är en socialteknisk attack mot push-notifiering 2FA. Angriparen har offrets lösenord men blockeras av den andra faktorn. Deras lösning: utlösa push-prompten upprepade gånger - dussintals eller hundratals gånger - tills offrets tryck godkänner. Ibland ringer angriparen också offret och utger sig för att vara IT-stöd: "godkänn bara uppmaningen så löser vi problemet."

Hur fungerar push 2FA normalt

När du loggar in med användarnamn och lösenord skickar servern ett meddelande till din registrerade telefon via Duo, Okta Verify, Microsoft eller liknande. Du ser "Godkänn inloggning från ?" och tryck på ja eller nej. Bekvämt och mycket bättre än SMS — tills angriparen har ditt lösenord.

Attackermekaniken

Attacker erhåller offrets lösenord (nätfiske, identitetsfyllning från tidigare intrång, köpt på mörka webbmarknader).
Attacker initierar loginttacker. Push-meddelanden utlöses på offrets telefon.
Offret tackar nej. Eller ser den inte.
Attacker försöker igen. Push bränder igen. Och igen. Och igen.
Så småningom, offret – irriterad, förvirrad eller antar att en app har fastnat – trycker på godkänn.
Attacker är inne.

Variants kombinerar push-skräppost med ett telefonsamtal från angriparens support till angriparen. uppmaning att "åtgärda säkerhetsproblemet."

Kända exempel

Uber (september 2022) — en 18-årig angripare köpte autentiseringsuppgifter för en entreprenör, spammade MFA-meddelandet på att skicka meddelanden till leverantören, IT-meddelandet att bli entreprenören. Entreprenör godkänd. Angriparen hade tillgång till interna system, inklusive säkerhetsteamets bug-bounty-plattform, där angriparen lade upp skärmdumpar.
Cisco (maj 2022) — angripare komprometterade en Cisco-anställds personliga Google-konto som hade sparat Cisco-uppgifter. De spammade Duo-uppmaningar och använde röstnätfiske för att övertyga den anställde att acceptera.
Microsoft (2022-2023) — Lapsus$-gruppen använde i stor utsträckning MFA-trötthet mot anställda i flera företag. intrångsvektorn efter lösenordslagret misslyckas.
Defenses
- Numbermatchande/verifieringskoder. Istället för att bara "godkänna/neka" visar servern ett 2-siffrigt nummer på inloggningsskärmen; push-prompten ber användaren att skriva samma nummer på sin telefon. Angriparen ser inte numret; användaren kan inte av misstag godkänna. Microsoft, Google, Duo, Okta har alla rullat ut detta som standard till 2024.
- Hardware FIDO2-nycklar. Kan inte MFA-tröttas — nyckeltecknen endast när de trycks fysiskt, och signaturen är bunden till ursprunget (att besegra phishing) well).
- Rate limiting. Blockera upprepade promptförsök; låsa kontot efter ett litet antal misslyckade uppmaningar.
- Riskbaserad autentisering. Inloggningar från ovanliga geografier, ovanliga enheter eller ovanliga tider kräver starkare verifiering.
- Z62X har utbildat anställda som otillåten65xUserutbildning. lösenord och försöker bryta sig in. Godkänn aldrig uppmaningar som du inte initierade.
Varför spelarutbildningslagret spelar roll
De tekniska försvaren är verkliga och nödvändiga, men den underliggande sårbarheten är mänsklig. Även med nummermatchning kan en angripare på ett röstsamtal som talar om för användaren numret som ska skrivas lyckas. Hårdvarunycklar besegrar hela klassen eftersom de kräver fysisk innehav, men att rulla ut dem till stora arbetsstyrkor är dyrt och operativt komplicerat.
Den mest effektiva kombinationen: hårdvarunycklar för högst värdefulla konton och administratörsanvändare, nummermatchad push för alla andra, med periodiska nätfiskesimuleringar som inkluderar MFA-utmattningsscenarier4X.Vad individer kan göra
- Om du får ett pushmeddelande som du inte initierade, avvisa det. Ändra sedan ditt lösenord – dina referenser är äventyrade.
- Godkänn aldrig en push eftersom någon i telefonen säger åt dig att göra det. Real IT kommer inte att be dig godkänna en uppmaning om att fixa någonting.
- Byt till en nummermatchande autentiseringsanordning om tillgänglig (de flesta större stöder det).
- För konton som du verkligen bryr dig om, ställ in en hårdvarunyckel – enstaka mest effektiva försvar.
- Tbehandla allvarliga incidenter oönskade. Meddela ditt IT-team och ändra användaruppgifter omedelbart.

Vanliga frågor

Är push 2FA fortfarande säker?: Ja om den använder nummermatchning eller geokontextverifiering, vilket de flesta större leverantörer nu kräver som standard. Vanliga "godkänna/neka"-uppmaningar utan nummermatchning förblir MFA-trötthetssårbara. Kontrollera inställningarna för din autentiseringsapp – om den bara visar en knapp, välj nummermatchning där alternativet finns.
Är SMS-koder säkrare än push-meddelanden?: Olika hotmodeller. SMS är sårbart för SIM-byte och avlyssning; push 2FA är sårbart för MFA-trötthet när den implementeras naivt. Modern push med nummermatchning är meningsfullt säkrare än SMS. Hårdvaranycklar slår båda.
Varför skulle en användare godkänna en prompt som de inte initierade?: Irritation, förvirring, social press. En användare som får 50 uppmaningar på 10 minuter antar att något är trasigt och trycker för att få det att sluta. Lägg till ett telefonsamtal från någon som påstår sig vara IT, och även försiktiga användare godkänner det ibland. Kognitiv belastning + skriptad manipulation fungerar.
Kan MFA trötthet fungera utan lösenordet?: Nej – angriparen behöver arbetsuppgifter först för att utlösa uppmaningarna. Försvarslagret nedan är starka unika lösenord + intrångsövervakning. Om ditt lösenord inte redan finns i angriparnas händer kan MFA-tröttheten inte starta.
Ska vi bara ta bort push 2FA?: Inte nödvändigt om det implementeras väl. Versionen med nummermatchning är tillräckligt robust för de flesta hotmodeller. Att ta bort push och återgå till TOTP-only är friktionstungt; för samma konton är maskinvarunycklar vanligtvis den bättre uppgraderingsvägen.

Hur fungerar push 2FA normalt

Attackermekaniken

Kända exempel

Defenses

Varför spelarutbildningslagret spelar roll

Vanliga frågor