MFA is bedoeld om accounts beter te beschermen. Toch kan dezelfde maatregel minder sterk worden wanneer medewerkers meldingen op routine gaan goedkeuren. Dat noemen we MFA-moeheid. De extra beveiligingsstap voelt dan niet meer als controle, maar als onderbreking.
Een medewerker krijgt een pushmelding op de telefoon en drukt snel op goedkeuren. Misschien omdat hij net wil doorwerken. Misschien omdat MFA-meldingen vaak voorkomen. Misschien omdat hij denkt dat het bij een eerdere login hoort. Dat automatische gedrag kan riskant zijn.
Aanvallers proberen MFA-moeheid bewust te misbruiken. Als zij een wachtwoord hebben, kunnen ze inlogpogingen starten en hopen dat de echte gebruiker uiteindelijk een melding goedkeurt.
Hoe MFA-moeheid ontstaat
MFA-moeheid ontstaat meestal niet door onwil. Het is een gevolg van herhaling, werkdruk en onduidelijkheid. Als medewerkers vaak moeten inloggen, veel meldingen krijgen of niet goed weten wanneer een melding legitiem is, wordt goedkeuren een gewoonte.
Die gewoonte is begrijpelijk, maar gevaarlijk. Een MFA-melding is juist bedoeld als beslismoment. De vraag is niet: wil ik door? De vraag is: ben ik zelf nu aan het inloggen?
Wanneer die vraag niet meer bewust wordt gesteld, wordt MFA kwetsbaar voor misleiding.
Hoe aanvallers het gebruiken
Bij een MFA-fatigue-aanval heeft een aanvaller meestal al een gebruikersnaam en wachtwoord. Die gegevens kunnen afkomstig zijn uit phishing, een datalek of hergebruik van wachtwoorden. Vervolgens probeert de aanvaller in te loggen en veroorzaakt daarmee MFA-meldingen bij de medewerker.
Soms gebeurt dat herhaaldelijk. De medewerker krijgt meerdere meldingen achter elkaar en kan geïrriteerd raken. In sommige gevallen neemt de aanvaller zelfs contact op, zogenaamd namens IT, met de vraag om de melding goed te keuren om het probleem op te lossen.
De aanval speelt dus niet alleen op techniek, maar vooral op gedrag: vermoeidheid, verwarring en druk.
Een onverwachte melding is een signaal
De belangrijkste afspraak is simpel: keur nooit een MFA-melding goed als je zelf niet probeert in te loggen. Een onverwachte melding betekent dat er iets niet klopt. Dat kan een vergissing zijn, maar ook een aanval.
Medewerkers moeten weten wat ze dan doen. Niet wegklikken en doorgaan, maar melden. Een onverwachte MFA-melding kan betekenen dat het wachtwoord bekend is bij iemand anders. Snel reageren kan voorkomen dat een account wordt misbruikt.
Maak MFA minder vermoeiend
Organisaties kunnen MFA-moeheid verkleinen door de inrichting goed te bekijken. Moeten medewerkers onnodig vaak opnieuw inloggen? Zijn meldingen duidelijk genoeg? Wordt er nummermatching gebruikt, waarbij iemand een getal moet overnemen van het inlogscherm? Worden risicovolle logins anders behandeld dan normale logins?
Gebruiksvriendelijkheid en veiligheid horen hier bij elkaar. Als MFA te vaak stoort, neemt de kans op automatisch gedrag toe. Een goede inrichting zorgt dat MFA aanwezig is waar het nodig is, maar niet onnodig frustreert.
Training hoort bij de maatregel
Medewerkers moeten niet alleen weten dat MFA belangrijk is, maar ook hoe aanvallers het proberen te omzeilen. Korte voorbeelden helpen: je krijgt een pushmelding terwijl je niet inlogt, wat doe je? Iemand van zogenaamde IT vraagt je een melding goed te keuren, wat doe je?
Door zulke situaties te oefenen, wordt duidelijk dat weigeren en melden goed gedrag is. MFA blijft sterk wanneer medewerkers de melding zien als controlepunt, niet als hinderlijke knop.
MFA-moeheid is dus geen reden om MFA niet te gebruiken. Het is een reden om MFA goed uit te leggen, slim in te richten en medewerkers te helpen bij het herkennen van verdachte meldingen.
Gebruik duidelijke meldingen
MFA-meldingen helpen meer wanneer ze context geven. Denk aan locatie, apparaat, applicatie en een nummer dat moet worden overgenomen van het inlogscherm. Hoe duidelijker de melding, hoe makkelijker een medewerker kan beoordelen of de login klopt.
Vage meldingen vergroten de kans op automatisch goedkeuren. Als iemand alleen een knop ziet zonder context, wordt MFA sneller een reflex. Goede techniek en goede uitleg versterken elkaar: medewerkers moeten weten wat ze zien en waarom een onverwachte melding serieus is.
Maak daarnaast duidelijk dat het weigeren van een verdachte MFA-melding geen fout is. Sommige medewerkers zijn bang dat ze zichzelf buitensluiten of een proces verstoren. Leg uit dat weigeren bij twijfel juist de juiste keuze is, zeker wanneer de medewerker op dat moment niet zelf probeert in te loggen.