आप जैसे पाठक MUO का समर्थन करने में मदद करते हैं। जब आप हमारी साइट पर लिंक का उपयोग करके खरीदारी करते हैं, तो हम संबद्ध कमीशन अर्जित कर सकते हैं।
क्रेडेंशियल-चोरी की बढ़ती घटनाओं ने कंपनियों को अपने कर्मचारियों को पासवर्ड चोरी के गंभीर प्रभावों से बचाने के लिए मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) को लागू करने के लिए मजबूर किया है। लेकिन हैकर्स अब सुरक्षा की इस अतिरिक्त परत से बचने के लिए एमएफए थकान हमले कर रहे हैं।
तो एमएफए थकान क्या है? ये हमले कैसे काम करते हैं? और आप अपनी रक्षा के लिए क्या कर सकते हैं?
एमएफए थकान हमला क्या है?
एक एमएफए थकान हमले में एमएफए पुश सूचनाओं के साथ एक खाता मालिक पर लगातार बमबारी करना शामिल है जब तक कि वे फिसल न जाएं या मनोवैज्ञानिक रूप से खराब न हो जाएं और लॉगिन अनुरोध को स्वीकार न करें।
एक बार एमएफए अनुरोध स्वीकृत हो जाने के बाद, हैकर्स उपयोगकर्ता के खाते तक पहुंच सकते हैं और इसका दुरुपयोग कर सकते हैं, हालांकि वे चाहते हैं।
इस तरह के हमले का मुख्य लक्ष्य खाता मालिक में थकान की भावना पैदा करने के लिए एमएफए पुश नोटिफिकेशन का अंतहीन बैराज भेजना है।
नियत समय में, यह MFA थकान खाता स्वामी को साइन-इन अनुरोध को गलती से या जानबूझकर MFA पुश सूचनाओं को रोकने के लिए स्वीकृत कर देती है।
कैसे एक एमएफए थकान हमला काम करता है
अधिक से अधिक अनुप्रयोगों और सेवाओं के साथ बहु-कारक प्रमाणीकरण को अपनाना, जब खाता स्वामियों को दिन में कई बार MFA अनुरोधों को स्वीकृत करने की आवश्यकता होती है, तो MFA पुश सूचनाओं को स्वीकृत करना एक नियमित कार्य बन सकता है। आखिरकार, MFA पुश सूचनाओं को प्रतिदिन स्वीकृत करने से खाता स्वामी असावधान हो सकते हैं।
इसके अलावा, MFA सूचनाओं की लगातार बमबारी खाता स्वामियों को निराश कर सकती है, उन्हें साइन-इन अनुरोध को स्वीकृत करने के लिए प्रेरित कर सकती है, बस सूचनाओं को परेशान करने से रोकने के लिए।
जैसा कि खाताधारक अक्सर अपने स्मार्टफ़ोन पर प्रमाणक ऐप्स का उपयोग करते हैं, हैकर्स उन्हें नीचे पहनने के लिए 24/7 लक्षित कर सकते हैं।
एमएफए थकान हमले में क्या होता है?
MFA थकान हमलों का पहला चरण खाता उपयोगकर्ता के लॉगिन क्रेडेंशियल प्राप्त करना है। वहां कई हैं पासवर्ड हैक करने की सामान्य तरकीबें, जिसमें फ़िशिंग, स्पाइडरिंग और ब्रूट फ़ोर्स अटैक शामिल हैं।
एक बार एक हमलावर के पास उपयोगकर्ता के लॉगिन प्रमाण-पत्र होते हैं, तो वे उन्हें बहु-कारक प्रमाणीकरण संकेतों के साथ बमबारी करते हैं।
हमलावरों को उम्मीद है कि:
- उपयोगकर्ता गलती से लॉगिन प्रयास को स्वीकार कर लेगा।
- एमएफए अनुरोधों की एक अंतहीन धारा द्वारा लगाए गए मनोवैज्ञानिक दबाव के कारण उपयोगकर्ता देगा।
एमएफए थकान हमलों को आसानी से स्वचालित किया जा सकता है। और अक्सर, सोशल इंजीनियरिंग हमले को सफल बनाने के लिए MFA थकान हमले के साथ जोड़ा जाता है।
उदाहरण के लिए, लक्ष्य उपयोगकर्ता को एक फ़िशिंग ईमेल प्राप्त होता है जिसमें उपयोगकर्ता से MFA अनुरोध को स्वीकृत करने का अनुरोध किया जाता है। एक फ़िशिंग ईमेल लक्ष्य को यह भी सूचित कर सकता है कि आने वाले दिनों में उन्हें कई एमएफए अनुरोधों का बंधन मिल सकता है क्योंकि एक नई सुरक्षा प्रणाली लागू की जा रही है। ईमेल आगे बता सकता है कि खाता स्वामी द्वारा लॉगिन प्रयास को स्वीकृति देने के बाद एमएफए अनुरोध बंद हो जाएंगे।
एमएफए थकान हमले से कैसे बचाव करें
एमएफए थकान के हमलों से सुरक्षित रहने के कुछ तरीके यहां दिए गए हैं I
1. अतिरिक्त संदर्भ सक्षम करें
एमएफए अनुरोधों में अतिरिक्त संदर्भ को सक्षम करने से बेहतर सुरक्षा मिल सकती है और एमएफए थकान हमलों से आपकी रक्षा हो सकती है।
एमएफए अनुरोध में अतिरिक्त संदर्भ आपको यह समझने में मदद करता है कि किस खाते ने एमएफए अधिसूचना ट्रिगर की, दिन का समय जब लॉगिन प्रयास किया गया था, तो डिवाइस लॉगिन का प्रयास करने के लिए प्रयोग किया गया था, और डिवाइस का स्थान जहां लॉगिन प्रयास किया गया था निर्मित।
यदि आप खाते में लॉग इन करने का प्रयास नहीं कर रहे हैं, तो आप किसी अपरिचित स्थान या डिवाइस से ट्रिगर किए गए एकाधिक एमएफए अनुरोधों को देखते हैं, यह एक संकेत है कि एक खतरा अभिनेता आपको स्पैम करने का प्रयास कर रहा है। आपको तुरंत चाहिए उस खाते का पासवर्ड बदलें और अपने IT विभाग को सूचित करें यदि यह किसी कंपनी नेटवर्क से जुड़ा है।
कई MFA ऐप्स में यह सुविधा डिफ़ॉल्ट रूप से सक्षम होती है। यदि आपका प्रमाणक ऐप अतिरिक्त संदर्भ नहीं दिखाता है, तो यह जांचने के लिए अपने ऐप की सेटिंग में गोता लगाएँ कि क्या उसके पास अतिरिक्त संदर्भ की अनुमति देने का विकल्प है।
2. जोखिम-आधारित प्रमाणीकरण अपनाएं
जोखिम-आधारित प्रमाणीकरण क्षमता वाले प्रमाणक ऐप का उपयोग करने से एमएफए थकान हमलों से बचाव में मदद मिल सकती है। ऐसा ऐप ज्ञात हमले के पैटर्न के आधार पर खतरे के संकेतों का पता लगा सकता है और उनका विश्लेषण कर सकता है और तदनुसार सुरक्षा आवश्यकताओं को समायोजित कर सकता है।
ज्ञात खतरे के पैटर्न में शामिल हैं, लेकिन लॉगिन प्रयास के असामान्य स्थान, बार-बार लॉगिन विफलताओं, एमएफए धक्का उत्पीड़न, और बहुत कुछ तक सीमित नहीं हैं।
जांचें कि क्या आपका एमएफए ऐप जोखिम-आधारित प्रमाणीकरण प्रदान करता है। यदि ऐसा होता है, तो इसे MFA पुश स्पैमिंग से सुरक्षित रहने के लिए सक्षम करें।
3. FIDO2 प्रमाणीकरण लागू करें
अपनाने FIDO2 किसी भी कंपनी में प्रमाणीकरण का रूप एमएफए थकान हमलों को रोक सकता है।
FIDO2 बायोमेट्रिक्स के आधार पर उपयोगकर्ताओं को पासवर्ड रहित प्रमाणीकरण और बहु-कारक प्रमाणीकरण प्रदान करता है। चूंकि आपके लॉगिन क्रेडेंशियल आपके डिवाइस को नहीं छोड़ते हैं, यह क्रेडेंशियल चोरी के जोखिम को समाप्त करता है, इसलिए खतरे वाले अभिनेता एमएफए अधिसूचना स्पैमिंग नहीं कर सकते।
4. पुश अधिसूचना को सत्यापन विधि के रूप में अक्षम करें
एमएफए पुश नोटिफिकेशन फीचर को उपयोग में आसान बनाने के लिए डिजाइन किया गया है। खाता स्वामियों को अपने खातों में लॉग इन करने के लिए केवल "हां" या "अनुमति दें" पर क्लिक करना होगा।
एमएफए थकान हमले प्रमाणक ऐप्स की इस सुविधा का फायदा उठाते हैं। इन सरल पुश सूचनाओं को अपने प्रमाणक ऐप में सत्यापन विधि के रूप में अक्षम करना MFA सुरक्षा बढ़ाने का एक सिद्ध तरीका है।
यहां कुछ विधियां दी गई हैं जिनका उपयोग आप MFA अनुरोध को सत्यापित करने के लिए कर सकते हैं:
- संख्या मिलान।
- चुनौती और प्रतिक्रिया।
- समय-आधारित वन-टाइम पासवर्ड।
सत्यापन विधि के रूप में संख्या-मिलान या समय-आधारित वन-टाइम पासवर्ड का उपयोग करने का लाभ यह है कि उपयोगकर्ता गलती से एमएफए अनुरोध को स्वीकार नहीं कर सकते हैं; सत्यापन प्रक्रिया को पूरा करने के लिए उन्हें आवश्यक जानकारी की आवश्यकता होगी।
यह जानने के लिए अपने प्रमाणीकरण ऐप की जांच करें कि आप साधारण पुश सूचनाओं के बजाय कौन सी एमएफए सत्यापन सुविधा का उपयोग कर सकते हैं, जो उपयोगकर्ताओं को लॉगिन प्रयासों को स्वीकृत करने के लिए "हां" या "अनुमति दें" पर क्लिक करने के लिए प्रेरित करती है।
5. प्रमाणीकरण अनुरोधों को सीमित करें
एक प्रमाणीकरणकर्ता ऐप में साइन-इन अनुरोधों की संख्या को सीमित करने से त्वरित बमबारी या एमएफए थकान को रोकने में मदद मिल सकती है। लेकिन सभी ऑथेंटिकेटर इस सुविधा की पेशकश नहीं करते हैं।
जांचें कि क्या आपका एमएफए प्रमाणक आपको प्रमाणीकरण अनुरोधों को सीमित करने की अनुमति देता है; उसके बाद, खाता ब्लॉक कर दिया जाएगा।
6. एमएफए के आसपास सुरक्षा जागरूकता फैलाएं
यदि आप एक कंपनी चलाते हैं, तो एमएफए थकान हमलों को विफल करने का सबसे अच्छा तरीका सुरक्षा जागरूकता प्रशिक्षण है। सुनिश्चित करें कि आपके कर्मचारियों को पता है कि एमएफए थकान का दौरा कैसा दिखता है और ऐसा होने पर क्या करना चाहिए। इसके अलावा, उन्हें एक फ़िशिंग ईमेल का पता लगाने में सक्षम होना चाहिए, जिसमें उनसे एमएफए अनुरोधों को स्वीकार करने का अनुरोध किया गया हो।
अपने कर्मचारियों को नियमित रूप से सर्वोत्तम साइबर सुरक्षा प्रथाओं पर प्रशिक्षण देना खातों की सुरक्षा की दिशा में एक लंबा रास्ता तय करता है।
एक गलती में मत धकेलो
बहु-कारक प्रमाणीकरण आपके खातों में सुरक्षा की एक अतिरिक्त परत जोड़ता है। यह आपके खातों की सुरक्षा करेगा भले ही खतरे वाले अभिनेताओं को आपके लॉगिन प्रमाण-पत्रों तक पहुंच प्राप्त हो। लेकिन आपको MFA थकान के हमले से सावधान रहना चाहिए। यह परेशान करने वाला हो सकता है, लेकिन इसमें गुफा न करें।