MFA-Fatigue (auch MFA-Bombing) ist eine Angriffstechnik, bei der ein Angreifer einem Nutzer so viele MFA-Push-Benachrichtigungen schickt, bis dieser aus Genervtheit oder Unaufmerksamkeit auf „Zulassen“ tippt. Voraussetzung ist, dass das Passwort bereits kompromittiert wurde.
Gegenmaßnahmen sind Number Matching (der Nutzer muss eine Zahl vom Login-Bildschirm eintippen), Passkeys statt Push-Benachrichtigungen, Risiko-basierte Prompts und Awareness-Schulungen.
Wir härten MFA-Konfigurationen in Entra ID und führen Number Matching/Passkeys ein – Teil unserer IT-Sicherheit.
