Les coûts cachés de votre helpdesk

Les codes d’accès et les liens des e-mails peuvent être interceptés si des facteurs MFA traditionnels sont en jeu ou si quelqu’un a accès à l’adresse e-mail de l’utilisateur, qui ne peut être protégée que par un nom d’utilisateur et un mot de passe (potentiellement divulgués lors d’une violation précédente). De plus, si quelqu’un contacte le service d’assistance parce qu’il a perdu son téléphone ou que son compte est bloqué, il y a de fortes chances qu’il ne puisse littéralement pas recevoir de SMS ou d’e-mails.

Notifications push envoyées à une application d’authentification : Cette méthode est vulnérable à pousser les crises de fatigueun vecteur apparu vers 2022. Il s’agit de bombarder le téléphone de l’utilisateur de requêtes push MFA jusqu’à ce que l’utilisateur devienne si « fatigué » qu’il clique sciemment ou accidentellement sur « approuver » et laisse entrer l’acteur malveillant. l’utilisateur après des invites MFA répétées, se faisant passer pour un employé informatique, pour le convaincre d’accepter l’invite. En 2022, Microsoft a signalé plus de 382 000 attaques de fatigue MFA.

Mais que se passe-t-il lorsqu’un utilisateur ne peut pas accéder à son application d’authentification ? L’un des aspects les plus frustrants de la mise à niveau vers un nouveau téléphone est le risque de se retrouver exclu de tous les comptes liés à cet appareil. Sans accès à l’application d’authentification, le seul moyen de récupérer l’accès au compte est d’appeler le service d’assistance, qui doit ensuite vérifier manuellement l’identité de l’utilisateur. Ce processus laisse les agents du support technique vulnérables à la manipulation. Le risque inhérent est que même si vous n’avez jamais été bloqué, des acteurs malveillants peuvent exploiter le processus de récupération de compte pour usurper votre identité, incitant les agents à réinitialiser vos comptes et à obtenir un accès non autorisé à vos informations sensibles.