多因素认证：横幅盲视的兴起

多因素认证 (MFA) 已成为现代网络安全的重要组成部分。 然而，持续不断的 MFA 请求正导致一个令人担忧的趋势：多因素横幅盲视。 用户越来越忽视或自动批准 MFA 提示，从而实际上抵消了安全优势。 本文探讨了这种现象背后的心理学、对欺诈预防和身份治理的影响，以及重塑用户信任和保持强大安全性的策略。

关键要点 1：MFA 疲劳是真实存在的，由于“横幅盲视”导致安全性降低——用户在未仔细考虑的情况下自动批准提示。

关键要点 2：MFA 请求的数量与用户参与度的降低和成功的网络钓鱼攻击风险增加直接相关。

关键要点 3：基于风险的身份验证和自适应 MFA 对于减少 MFA 疲劳和增强用户体验至关重要，而不会影响安全性。

关键要点 4：通过透明的沟通和简化的身份验证流程建立用户信任对于长期 MFA 采用至关重要。

MFA 疲劳的心理学

人类天生习惯于重复的刺激。 这是一种认知捷径，有助于我们节省心理能量。 当面临持续不断的 MFA 请求时，用户开始将其视为一种烦恼，而不是安全措施。 这导致了一种类似于“横幅盲视”的现象——一种视觉现象，用户由于已经学会忽略它们而无法注意到广告或其他重要信息。 Google 最近的一项研究表明，在面临频繁干扰时，用户出错的可能性高 50%，而 MFA 提示肯定属于干扰。

问题在于，许多 MFA 实现设计不佳。 持续请求相同类型的验证（例如，推送通知）会变得可预测且容易被攻击者利用。 此外，缺乏关于 为什么 触发 MFA 请求的清晰沟通会削弱用户信任并助长麻痹。

对欺诈和身份治理的影响

MFA 横幅盲视会显著增加成功网络钓鱼攻击的风险。 攻击者利用这种疲劳发送有针对性的网络钓鱼活动，模仿合法的 MFA 请求。 由于用户已经习惯于自动批准提示，因此他们不太可能仔细检查细节，从而容易受到攻击。 根据 2023 年 Verizon 数据泄露调查报告 (DBIR)，74% 的数据泄露事件涉及网络钓鱼，而绕过 MFA 是一种日益增长的担忧。

从身份治理的角度来看，MFA 疲劳会造成合规风险。 如果 MFA 没有有效运行，组织将无法满足数据保护和访问控制的法规要求。 这可能会导致巨额罚款和声誉损害。 此外，由于 MFA 疲劳而导致帐户被盗用可能会导致内部欺诈和数据泄露。

基于风险的身份验证：更明智的方法

解决方案不是放弃 MFA，而是使其更加智能。 基于风险的身份验证 (RBA) 根据登录尝试的感知风险动态调整所需的身份验证级别。 这意味着低风险登录（例如，来自受信任设备和位置的登录）可能不需要 MFA，而高风险登录（例如，来自不熟悉的设备或位置的登录）会触发更强大的身份验证措施。

自适应 MFA 更进一步，通过学习用户行为并持续调整身份验证要求。 例如，如果用户通常从他们的办公室电脑登录，那么任何来自不同位置或设备的登录尝试都会触发更严格的身份验证挑战。 Didit 的平台例如，使用 IP 地址、设备数据和行为生物识别等信号来实时评估风险。

通过透明度建立用户信任

透明度对于建立用户信任和鼓励 MFA 采用至关重要。 组织应清楚地说明 为什么 使用 MFA 以及 如何 保护他们的数据。 他们还应向用户提供有关如何报告可疑活动的明确说明。 此外，提供多种 MFA 方法（例如，生物识别身份验证、安全密钥）使用户能够选择最适合他们需求和偏好的选项。

简化身份验证流程也至关重要。 减少完成 MFA 所需的步骤，并提供无缝的用户体验可以显著减少疲劳。 使用 Didit 提供的密码less 身份验证方法，可以完全消除密码的需求，从而进一步减少摩擦并提高安全性。

Didit 如何提供帮助

Didit 的身份平台通过一套全面的功能解决 MFA 疲劳和横幅盲视：

• 基于风险的身份验证： 利用高级欺诈信号和行为生物识别来动态调整身份验证要求。
• 自适应 MFA： 持续学习用户行为以优化身份验证体验。
• 密码less 身份验证： 提供生物识别身份验证和其他密码less 选项，以消除与密码相关的漏洞。
• 可重复使用的 KYC： 减少完整 KYC 检查的频率，从而最大限度地减少用户摩擦。
• 工作流程编排： 构建针对特定风险状况定制的自定义身份验证流程。

准备好开始了吗？

不要让 MFA 疲劳危及您的安全。 立即申请 Didit 身份平台的演示，了解我们如何帮助您构建更安全、更用户友好的身份验证体验。 了解我们的定价计划，了解 Didit 如何适应您的预算。