What is the most secure type of multi-factor authentication?

Hardware security keys like YubiKeys provide the strongest MFA protection because they are phishing-resistant. They verify the legitimacy of the website before responding, so they cannot be tricked by fake login pages. Authenticator apps (TOTP) are the next best option, generating time-based codes that expire every 30 seconds. SMS-based MFA is the weakest common method due to SIM-swapping attacks and SS7 protocol vulnerabilities, though it remains better than no MFA at all.

What is an MFA fatigue attack and how do I avoid it?

An MFA fatigue attack, also called MFA bombing or push spam, occurs when an attacker who already has your password repeatedly triggers MFA push notifications, hoping you will approve one out of frustration or confusion. The 2022 Uber breach succeeded using exactly this technique. To defend against it, never approve an MFA prompt you did not initiate. Use number-matching MFA (where you must enter a displayed code rather than just tapping "approve"), and report unexpected MFA prompts to your security team immediately.

Налаштування MFA та кращі практики

Set up multi-factor authentication the right way.

Що ви дізнаєтесь у Налаштування MFA та кращі практики

Налаштувати багатофакторну автентифікацію за допомогою додатка-автентифікатора та зрозуміти, чому це безпечніше за SMS-коди
Розпізнавати атаки MFA fatigue (push bombing) та правильно реагувати, відхиляючи незапрошені запити на підтвердження та негайно повідомляючи
Порівнювати властивості безпеки SMS, додатків-автентифікаторів та апаратних ключів для прийняття обґрунтованих рішень щодо MFA для різних типів акаунтів
Зберігати резервні та відновлювальні коди MFA у безпечному місці, окремому від пристрою, на якому працює Ваш автентифікатор
Визначати фішингостійкі методи MFA, такі як ключі безпеки FIDO2/WebAuthn, що усувають ризик атак ретрансляції облікових даних у реальному часі

Налаштування MFA та кращі практики — Кроки навчання

Ласкаво просимо до Valcrest Financial Services

Сьогодні IT Security оголосила про ініціативу всієї компанії, яка вимагає від усіх співробітників увімкнути багатофакторну автентифікацію (MFA) у своїх облікових записах. Цей тренінг допоможе вам налаштувати MFA та зрозуміти передовий досвід.
Чому паролів недостатньо

Щороку мільярди паролів викрадаються через витоки даних. Навіть надійні паролі можуть бути скомпрометовані через фішинг, клавіатурні шпигуни або атаки підмішування облікових даних. MFA додає другий рівень безпеки. Навіть якщо хтось вкраде ваш пароль, вони не зможуть отримати доступ до вашого облікового запису без вашого другого фактора - того, що є лише у вас.
Електронна пошта Ініціативи МЗС

Аліса отримує електронний лист від IT Security про нову вимогу MFA.
Доступ до порталу безпеки

Аліса натискає посилання, щоб отримати доступ до порталу безпеки. Цей портал дозволяє співробітникам керувати налаштуваннями безпеки, зокрема реєстрацією MFA.
Вхід на портал безпеки

З’явиться сторінка входу на портал безпеки. Аліса може використовувати свій менеджер паролів, щоб безпечно заповнити свої облікові дані.
Розуміння факторів MFA

Портал безпеки відображає огляд багатофакторної автентифікації. MFA вимагає двох або більше з цих трьох типів факторів: Щось, що ви знаєте - паролі, PIN-коди, секретні запитання Щось у вас є - телефон, ключ безпеки, смарт-карта Something You Are - відбиток пальця, розпізнавання обличчя, голос Поєднання факторів із різних категорій значно ускладнює компроміс із обліковими записами.
Перегляд параметрів MFA

Тепер, коли ви розумієте три категорії факторів, давайте дослідимо конкретні варіанти MFA, доступні в Valcrest Financial Services.
Опції МЗС: SMS коди

Портал показує три варіанти МЗС. По-перше, це SMS-підтвердження: Текстові SMS-повідомлення Код надсилається на ваш телефон у текстовому вигляді Легко налаштувати – потрібен лише ваш номер телефону Працює на будь-якому телефоні, який отримує текстові повідомлення Обмеження: Вразливість до атак із заміною SIM-карти Може бути перехоплено, якщо телефон зламано Потрібен стільниковий зв’язок служба SMS краще, ніж відсутність MFA, але не найбезпечніший варіант.
Параметри MFA: програми автентифікації

Другий варіант – програми автентифікації: Програми для автентифікації (Google Authenticator, Microsoft Authenticator, Authy) Генерація одноразових паролів на основі часу (TOTP) Робота в автономному режимі – не потрібна мобільна служба Більш безпечна, ніж SMS – не можна замінити SIM-карту Коди генеруються кожні 30 секунд Примітки: Потрібно встановити програму Потрібно створити резервну копію кодів відновлення – втрата телефону означає втрату доступу Програми автентифікатора рекомендовані для більшості користувачів.
Параметри MFA: апаратні ключі безпеки

Третій і найбезпечніший варіант – апаратні ключі безпеки: Апаратні ключі безпеки (YubiKey, Google Titan, Feitian) Фізичний пристрій, який ви підключаєте або торкаєтеся для автентифікації Стійкий до фішингу – працює лише на законних сайтах Неможливо віддалено перехопити Найбільш безпечний доступний варіант Ваги: Потрібно придбання фізичного ключа Потрібен резервний ключ на випадок втрати Підтримується не всіма службами Ключі безпеки ідеально підходять для важливих облікових записів, як-от фінансових систем.

Що ви дізнаєтесь у Налаштування MFA та кращі практики

Налаштування MFA та кращі практики — Кроки навчання

Ласкаво просимо до Valcrest Financial Services

Чому паролів недостатньо

Електронна пошта Ініціативи МЗС

Доступ до порталу безпеки

Вхід на портал безпеки

Розуміння факторів MFA

Перегляд параметрів MFA

Опції МЗС: SMS коди

Параметри MFA: програми автентифікації

Параметри MFA: апаратні ключі безпеки