Jarenlang hebben we medewerkers één heldere boodschap meegegeven: zet meervoudige verificatie aan, want dat is een extra slot op de deur. En dat klopt nog steeds. Maar aanvallers hebben een manier gevonden om juist dat slot tegen je te gebruiken: de MFA-fatigue-aanval, ook wel MFA-bombardement genoemd. Daarmee ontstaat een lastige opgave voor wie awareness verzorgt. Je moet namelijk een eerdere boodschap nuanceren zonder het vertrouwen in MFA af te breken. Dit artikel legt uit hoe de aanval werkt, en vooral hoe je er in je awarenessprogramma mee omgaat.
Wat is een MFA-fatigue-aanval?
Een MFA-fatigue-aanval begint op het moment dat een aanvaller je wachtwoord al heeft, bijvoorbeeld uit een datalek of via phishing. Het wachtwoord alleen is niet genoeg, want de meervoudige verificatie staat ertussen. Daarom probeert de aanvaller telkens opnieuw in te loggen. Elke poging stuurt een nieuwe goedkeuringsvraag naar jouw authenticator-app.
Je telefoon trilt, en trilt nog eens, en blijft vragen of jij net probeert in te loggen. De aanval rekent niet op techniek, maar op vermoeidheid en verwarring. Op een druk moment, of midden in de nacht, tikt iemand uiteindelijk op "goedkeuren" om er vanaf te zijn. Precies op dat moment is de aanvaller binnen.
Waarom de aanval werkt: het is geen technisch, maar een menselijk lek
Het is verleidelijk om MFA-fatigue te zien als een technisch probleem, maar dat is het niet. De verificatie doet exact wat ze hoort te doen: ze vraagt om bevestiging. De zwakke plek zit in de reactie van de mens.
Twee gedachten spelen daarbij een hoofdrol. De eerste is de aanname "dit zal wel van mij zijn". Wie net heeft ingelogd of zijn telefoon pakt, gaat er makkelijk van uit dat de melding bij een eigen handeling hoort. De tweede is pure irritatie: een stroom meldingen voelt als een storing, en een goedkeuring lijkt de snelste manier om de rust te laten terugkeren. De aanvaller speelt bewust in op allebei.
De awarenessparadox: gisteren een slot, vandaag ook een risico
Hier ligt de echte uitdaging voor je awarenessprogramma. Je hebt mensen geleerd dat meervoudige verificatie veilig is, en dat boodschap is goed geland. Maar diezelfde boodschap werkt nu tegen je, want wie MFA volledig vertrouwt, keurt een melding eerder klakkeloos goed.
De reflex is om de nieuwe dreiging er los bovenop te zetten: nóg een waarschuwing, nóg een regel. Dat werkt averechts. Mensen raken in de war als de ene campagne zegt "MFA is je redding" en de volgende "pas op met MFA". De oplossing is niet om de eerdere boodschap terug te nemen, maar om hem aan te vullen met één heldere nuance: het slot is sterk, maar jij beslist wanneer het opengaat. Een goedkeuring is geen formaliteit, maar een bewuste handeling.
De boodschap voor medewerkers: drie eenvoudige afspraken
Houd de instructie zo concreet mogelijk. Drie afspraken zijn genoeg en blijven hangen:
- Verwacht je de melding niet, keur dan niet goed. Een verzoek dat je niet zelf hebt uitgelokt, is per definitie verdacht.
- Een stroom meldingen is een alarmsignaal, geen storing. Meerdere verzoeken kort achter elkaar betekent bijna altijd dat iemand anders jouw wachtwoord gebruikt.
- Meld het, en wijzig je wachtwoord. Waarschuw IT en verander je wachtwoord, want de aanvaller heeft dat duidelijk al in handen.
Techniek en gedrag versterken elkaar
Awareness is onmisbaar, maar je hoeft medewerkers niet alle last alleen te laten dragen. De techniek kan de menselijke afweging een stuk makkelijker maken, en die twee versterken elkaar.
Met nummervergelijking (number matching) krijgt de gebruiker een cijfercode te zien op het inlogscherm, die hij in de app moet overtypen. Klakkeloos goedkeuren kan dan niet meer. Daarnaast helpt het om het aantal pogingen te beperken en verdachte patronen te laten signaleren door je beheerteam. De sterkste stap is overstappen op phishingbestendige aanmelding met FIDO2 of passkeys: daarbij bestaat de los goed te keuren melding niet meer, en is een MFA-fatigue-aanval simpelweg niet mogelijk.
Zo verwerk je dit in je awarenessprogramma
Behandel MFA-fatigue niet als een losse waarschuwing, maar als de logische tweede les na de uitleg over meervoudige verificatie. Wie het eerste verhaal al kent, is precies klaar voor de nuance.
Begin met erkennen wat mensen eerder hebben geleerd: MFA is en blijft belangrijk. Leg daarna kort uit dat aanvallers de goedkeuringsvraag misbruiken, en oefen het herkennen met een concreet voorbeeld: een trillende telefoon met meldingen die je niet hebt uitgelokt. Sluit af met de drie afspraken en met de mededeling dat melden altijd goed is, ook bij twijfel. Herhaal dit met een korte tussenpoos, want één campagne verandert geen gewoonte. En koppel het aan de techniek: leg uit waarom de nummervergelijking is ingevoerd, zodat de maatregel niet als hinder voelt maar als hulpmiddel.
Related articles
- Safe Links in Exchange (Safe URLs): waarom het herschrijven van URL's schijnveiligheid is
- Externe-afzenderwaarschuwing in Exchange: hoe effectief is de banner?
FAQ
Betekent MFA-fatigue dat meervoudige verificatie niet meer veilig is?
Nee. Meervoudige verificatie blijft een van de belangrijkste maatregelen tegen accountovername. De aanval omzeilt de techniek niet, maar misleidt de mens die de melding goedkeurt. Met een bewuste omgang en aanvullende instellingen blijft MFA juist heel effectief.
Moeten we medewerkers nu vertellen dat ze MFA niet meer moeten vertrouwen?
Nee, en die boodschap zou zelfs schadelijk zijn. Het gaat niet om wantrouwen tegenover MFA, maar om een bewuste handeling: keur alleen goed wat je zelf in gang hebt gezet. Het slot blijft sterk; jij beslist wanneer het opengaat.
Wat moet een medewerker doen bij een stroom onverwachte meldingen?
Niets goedkeuren, het verzoek negeren, en het direct melden bij IT. Wijzig daarna het wachtwoord, want een aanhoudende stroom verzoeken betekent dat de aanvaller dat wachtwoord al heeft. Een snelle melding beperkt de schade aanzienlijk.
Welke technische maatregel helpt het beste tegen MFA-fatigue?
Nummervergelijking (number matching) maakt klakkeloos goedkeuren onmogelijk en is snel in te voeren. De meest robuuste oplossing is phishingbestendige aanmelding met FIDO2 of passkeys, want daarmee bestaat de los goed te keuren melding niet meer.
Hoe voorkom je dat de nieuwe boodschap het vertrouwen in MFA ondermijnt?
Door de nuance toe te voegen in plaats van de eerdere les terug te nemen. Erken dat MFA belangrijk is en blijft, en presenteer de waakzaamheid bij meldingen als de logische volgende stap. Zo bouw je voort op wat mensen al weten, in plaats van het tegen te spreken.