Многофакторная аутентификация: Эффект «баннерной слепоты»

Многофакторная аутентификация (MFA) стала краеугольным камнем современной кибербезопасности. Однако непрерывный поток запросов MFA приводит к тревожной тенденции: эффекту многофакторной «баннерной слепоты». Пользователи все чаще игнорируют или автоматически подтверждают запросы MFA, эффективно сводя на нет преимущества безопасности. В этой статье рассматривается психология этого явления, его последствия для предотвращения мошенничества и управления идентификацией, а также стратегии восстановления доверия пользователей и поддержания надежной безопасности.

Ключевой вывод 1: Усталость от MFA – это реальность, приводящая к снижению эффективности безопасности из-за «баннерной слепоты» – автоматическое подтверждение запросов пользователями без должного внимания.

Ключевой вывод 2: Количество запросов MFA напрямую коррелирует со снижением вовлеченности пользователей и увеличением риска успешных фишинговых атак.

Ключевой вывод 3: Аутентификация на основе рисков и адаптивная MFA критически важны для снижения усталости от MFA и повышения удобства использования без ущерба для безопасности.

Ключевой вывод 4: Построение доверия пользователей посредством прозрачной коммуникации и оптимизированных процессов аутентификации имеет важное значение для долгосрочного внедрения MFA.

Психология усталости от MFA

Люди генетически предрасположены к привыканию к повторяющимся стимулам. Это когнитивный прием, который помогает нам экономить умственную энергию. Когда пользователи сталкиваются с постоянными запросами MFA, они начинают воспринимать их как досадную помеху, а не как меру безопасности. Это приводит к явлению, похожему на «баннерную слепоту» – визуальному феномену, при котором пользователи не замечают рекламу или другую важную информацию, потому что научились ее игнорировать. Недавнее исследование, проведенное Google, показало, что пользователи на 50% чаще совершают ошибки, когда сталкиваются с частыми перерывами, а запросы MFA, безусловно, являются перерывами.

Проблема усугубляется тем, что многие реализации MFA спроектированы плохо. Постоянные запросы одного и того же типа проверки (например, push-уведомления) становятся предсказуемыми и легко эксплуатируемыми злоумышленниками. Кроме того, отсутствие четкой информации о том, почему был отправлен запрос MFA, подрывает доверие пользователей и поощряет беспечность.

Влияние на мошенничество и управление идентификацией

«Баннерная слепота» при использовании MFA значительно увеличивает риск успешных фишинговых атак. Злоумышленники используют эту усталость, отправляя целевые фишинговые кампании, имитирующие легитимные запросы MFA. Поскольку пользователи приучены автоматически подтверждать запросы, они менее склонны проверять детали, что делает их уязвимыми для компрометации. Согласно Отчету о нарушениях данных Verizon за 2023 год (DBIR), фишинг участвует в 74% всех нарушений, а обход MFA вызывает растущую обеспокоенность.

С точки зрения управления идентификацией, усталость от MFA создает комплаенс-риск. Если MFA не функционирует эффективно, организации не выполняют нормативные требования по защите данных и контролю доступа. Это может привести к крупным штрафам и ущербу репутации. Кроме того, скомпрометированная учетная запись из-за усталости от MFA может привести к внутреннему мошенничеству и утечке данных.

Аутентификация на основе рисков: более разумный подход

Решение не в том, чтобы отказаться от MFA, а в том, чтобы сделать ее более разумной. Аутентификация на основе рисков (RBA) динамически регулирует уровень необходимой аутентификации в зависимости от воспринимаемого риска попытки входа в систему. Это означает, что для входов с низким риском (например, с доверенного устройства и местоположения) MFA может не требоваться, в то время как для входов с высоким риском (например, с незнакомого устройства или местоположения) будут запущены более строгие меры аутентификации.

Адаптивная MFA идет еще дальше, изучая поведение пользователя и постоянно адаптируя требования к аутентификации. Например, если пользователь обычно входит в систему со своего офисного компьютера, любая попытка входа с другого устройства или из другого местоположения вызовет более строгую проверку подлинности. Платформа Didit, например, использует такие сигналы, как IP-адрес, данные устройства и поведенческая биометрия, для оценки риска в реальном времени.

Построение доверия пользователей посредством прозрачности

Прозрачность имеет решающее значение для построения доверия пользователей и поощрения внедрения MFA. Организации должны четко сообщать, зачем используется MFA и как она защищает их данные. Они также должны предоставить пользователям четкие инструкции о том, как сообщать о подозрительной активности. Кроме того, предложение различных методов MFA (например, биометрическая аутентификация, ключи безопасности) дает пользователям возможность выбирать вариант, который наилучшим образом соответствует их потребностям и предпочтениям.

Оптимизация процесса аутентификации также имеет важное значение. Сокращение количества шагов, необходимых для завершения MFA, и обеспечение бесперебойной работы пользователей могут значительно снизить усталость. Использование методов аутентификации без пароля, таких как те, которые предлагает Didit, может устранить необходимость в паролях, еще больше снизив трение и повысив безопасность.

Как Didit помогает

Платформа идентификации Didit решает проблему усталости от MFA и «баннерной слепоты» с помощью комплексного набора функций:

• Аутентификация на основе рисков: Использование расширенных сигналов мошенничества и поведенческой биометрии для динамической настройки требований к аутентификации.
• Адаптивная MFA: Постоянное изучение поведения пользователя для оптимизации процесса аутентификации.
• Аутентификация без пароля: Предложение биометрической аутентификации и других вариантов без пароля для устранения уязвимостей, связанных с паролями.
• Многоразовое KYC: Сокращение частоты полных проверок KYC, минимизация неудобств для пользователей.
• Оркестровка рабочих процессов: Создание пользовательских потоков аутентификации, адаптированных к конкретным профилям риска.

Готовы начать?

Не позволяйте усталости от MFA поставить под угрозу вашу безопасность. Закажите демонстрацию платформы идентификации Didit сегодня и узнайте, как мы можем помочь вам создать более безопасный и удобный опыт аутентификации. Ознакомьтесь с нашими тарифными планами и узнайте, как Didit может соответствовать вашему бюджету.