微軟身份驗證器(Microsoft Authenticator)在9月份的微軟更新中已經集成新的安全措施用來應對MFA 疲勞攻擊。

現在這些新安全措施已經面向所有用戶啟用，身份啟用新安全措施后可以抵御MFA疲勞攻擊以大幅度提高安全性。驗證應對

疲勞攻擊是布更個略微有趣的攻擊方式，這種攻擊方式中招的新推性藍多數都是初級用戶，微軟已發現這類攻擊有所增長。出新措施

什么是勞攻MFA疲勞攻擊：

MFA指的是多因素認證，也就是提高我們配置多因素認證后登錄賬號時可能需要輸入數字驗證碼或點擊允許登錄。

現在有部分黑客利用腳本批量自動嘗試登錄用戶賬號，安全當發起登錄請求時微軟身份驗證器會彈出通知給用戶。點網

一般來說當登錄的微軟是微軟賬號時，微軟身份驗證器會顯示是身份否允許登錄，用戶點擊是驗證應對即可無需輸入驗證數字。

黑客利用的布更就是這個弱點，黑客不停地嘗試登錄不停地發送登錄請求，新推性藍賭有些用戶會煩的不行錯誤點擊允許。

一旦點擊允許那么黑客那邊就可以登錄用戶的微軟賬戶，這種攻擊方式被稱為MFA疲勞攻擊，時下開始流行。

微軟的新防御策略：

針對疲勞攻擊微軟安全團隊分析后找到一些特點，然后針對這些特點開發專門的防御措施來提高賬戶安全性。

例如當微軟系統檢測到異地登錄或者高風險登錄時，微軟身份驗證器僅在打開時才會彈出是否允許登錄通知。

如果用戶沒有打開驗證器那就不會彈出通知，因此用戶不會被干擾，也不會因為失誤而導致誤點擊允許登錄。

第二個特點是微軟檢測到風險時即便用戶打開驗證器，驗證器也不會直接顯示允許，而是變成數字驗證模式。

微軟在登錄頁面顯示兩位數數字，用戶必須在驗證器里手動輸入數字，即便用戶想要誤點擊那也是不可能的。

這種模式下只有用戶面對登錄頁面看到數字才能輸入和登錄，因此換成這種模式后也可以大幅度提升安全性。

微軟安全團隊稱自從上個月部署新安全策略后，微軟已經攔截超過600萬次MFA疲勞攻擊 ，減少用戶被干擾。

絕大多數情況下這些登錄請求都是黑客發起的，對用戶來說沒有任何價值，所以新安全策略為所有用戶推出。