What is the most secure type of multi-factor authentication?

Hardware security keys like YubiKeys provide the strongest MFA protection because they are phishing-resistant. They verify the legitimacy of the website before responding, so they cannot be tricked by fake login pages. Authenticator apps (TOTP) are the next best option, generating time-based codes that expire every 30 seconds. SMS-based MFA is the weakest common method due to SIM-swapping attacks and SS7 protocol vulnerabilities, though it remains better than no MFA at all.

What is an MFA fatigue attack and how do I avoid it?

An MFA fatigue attack, also called MFA bombing or push spam, occurs when an attacker who already has your password repeatedly triggers MFA push notifications, hoping you will approve one out of frustration or confusion. The 2022 Uber breach succeeded using exactly this technique. To defend against it, never approve an MFA prompt you did not initiate. Use number-matching MFA (where you must enter a displayed code rather than just tapping "approve"), and report unexpected MFA prompts to your security team immediately.

MFA-Einrichtung und Best Practices

Set up multi-factor authentication the right way.

What Is MFA-Einrichtung und Best Practices?

Laut der Sicherheitsforschung von Microsoft blockiert die Multi-Faktor-Authentifizierung über 99 % der automatisierten Kontogefährdungsversuche. Aber nicht jede MFA ist gleich stark, und die Art und Weise, wie Sie sie konfigurieren, ist genauso wichtig wie die Frage, ob Sie sie überhaupt aktivieren. Diese Übung führt Sie durch die Einrichtung von MFA für ein Unternehmenskonto und vergleicht die Sicherheitskompromisse zwischen SMS-Codes, Authentifizierungs-Apps und Hardware-Sicherheitsschlüsseln. Sie werden eine Live-Demonstration sehen, wie Angreifer SMS-basierte Einmalpasswörter durch SIM-Tausch und Echtzeit-Phishing-Proxys abfangen, was SMS trotz ihrer Bequemlichkeit zur schwächsten Option macht. Die Simulation versetzt Sie dann in ein Szenario, in dem Sie eine Push-Benachrichtigung erhalten, die Sie nicht initiiert haben, das verräterische Zeichen eines MFA-Müdigkeitsangriffs, bei dem ein Angreifer Ihr Konto mit Genehmigungsanfragen bombardiert, in der Hoffnung, dass Sie auf „Akzeptieren“ tippen, nur um ihn zu stoppen. Sie üben die richtige Reaktion: Lehnen Sie die Anfrage ab, ändern Sie sofort Ihr Passwort und melden Sie den Vorfall. Die Übung endet mit der Backup-Code-Verwaltung und zeigt, wo Wiederherstellungscodes sicher gespeichert werden können, damit Sie nicht dauerhaft gesperrt sind, wenn Sie Ihr primäres Gerät verlieren.

What You'll Learn in MFA-Einrichtung und Best Practices

Richten Sie die Multi-Faktor-Authentifizierung mit einer Authentifizierungs-App ein und erfahren Sie, warum sie sicherer ist als SMS-basierte Codes
Erkennen Sie MFA-Müdigkeitsangriffe (Push-Bombing) und reagieren Sie richtig, indem Sie unaufgeforderte Genehmigungsaufforderungen ablehnen und sofort melden
Vergleichen Sie die Sicherheitseigenschaften von SMS, Authentifizierungs-Apps und Hardwareschlüsseln, um fundierte MFA-Entscheidungen für verschiedene Kontotypen zu treffen
Speichern Sie MFA-Sicherungs- und Wiederherstellungscodes an einem sicheren Ort, getrennt von dem Gerät, auf dem Ihr Authentifikator ausgeführt wird
Identifizieren Sie Phishing-resistente MFA-Methoden wie FIDO2/WebAuthn-Sicherheitsschlüssel, die das Risiko von Echtzeit-Relay-Angriffen auf Anmeldeinformationen eliminieren

MFA-Einrichtung und Best Practices — Training Steps

Willkommen bei Valcrest Financial Services

Heute hat IT Security eine unternehmensweite Initiative angekündigt, die alle Mitarbeiter dazu verpflichtet, die Multi-Faktor-Authentifizierung (MFA) für ihre Konten zu aktivieren. Diese Schulung führt Sie durch die Einrichtung von MFA und das Verständnis von Best Practices.
Warum Passwörter nicht ausreichen

Jedes Jahr werden Milliarden von Passwörtern durch Datenschutzverletzungen gestohlen. Selbst sichere Passwörter können durch Phishing, Keylogger oder Credential-Stuffing-Angriffe kompromittiert werden. MFA fügt eine zweite Sicherheitsebene hinzu. Selbst wenn jemand Ihr Passwort stiehlt, kann er ohne Ihren zweiten Faktor nicht auf Ihr Konto zugreifen – etwas, das nur Sie haben.
Die E-Mail der MFA-Initiative

Alice erhält eine E-Mail von der IT-Sicherheit über die neue MFA-Anforderung.
Zugriff auf das Sicherheitsportal

Alice klickt auf den Link, um auf das Sicherheitsportal zuzugreifen. Über dieses Portal können Mitarbeiter ihre Sicherheitseinstellungen verwalten, einschließlich der MFA-Registrierung.
Anmelden beim Sicherheitsportal

Die Anmeldeseite des Sicherheitsportals wird angezeigt. Alice kann ihren Passwort-Manager verwenden, um ihre Anmeldeinformationen sicher einzugeben.
MFA-Faktoren verstehen

Das Sicherheitsportal zeigt eine Übersicht zur Multi-Faktor-Authentifizierung. MFA erfordert zwei oder mehr dieser drei Faktortypen: Etwas, das Sie wissen – Passwörter, PINs, Sicherheitsfragen Etwas, das Sie haben – Telefon, Sicherheitsschlüssel, Smartcard Etwas, das du bist – Fingerabdruck, Gesichtserkennung, Stimme Durch die Kombination von Faktoren aus verschiedenen Kategorien wird es deutlich schwieriger, Konten zu kompromittieren.
MFA-Optionen anzeigen

Nachdem Sie nun die drei Faktorkategorien verstanden haben, wollen wir uns mit den spezifischen MFA-Optionen befassen, die bei Valcrest Financial Services verfügbar sind.
MFA-Optionen: SMS-Codes

Das Portal zeigt drei MFA-Optionen. Die erste ist die SMS-Verifizierung: SMS-Textnachrichten Ein Code wird per SMS an Ihr Telefon gesendet Einfach einzurichten – Sie benötigen lediglich Ihre Telefonnummer Funktioniert auf jedem Telefon, das SMS empfängt Einschränkungen: Anfällig für SIM-Swapping-Angriffe Kann abgefangen werden, wenn das Telefon kompromittiert wird Mobilfunkdienst erforderlich SMS ist besser als kein MFA, aber nicht die sicherste Option.
MFA-Optionen: Authentifizierungs-Apps

Die zweite Option sind Authentifizierungs-Apps: Authenticator-Apps (Google Authenticator, Microsoft Authenticator, Authy) Zeitbasierte Einmalpasswörter (TOTP) generieren Offline arbeiten – kein Mobilfunkdienst erforderlich Sicherer als SMS – SIM-Austausch nicht möglich Codes werden alle 30 Sekunden neu generiert Überlegungen: Erfordert die Installation eines App Wiederherstellungscodes müssen gesichert werden – der Verlust Ihres Telefons bedeutet den Verlust des Zugriffs Authenticator-Apps werden für die meisten Benutzer empfohlen.
MFA-Optionen: Hardware-Sicherheitsschlüssel

Die dritte und sicherste Option sind Hardware-Sicherheitsschlüssel: Hardware-Sicherheitsschlüssel (YubiKey, Google Titan, Feitian) Physisches Gerät, das Sie anschließen oder zur Authentifizierung antippen Phishing-resistent – funktioniert nur auf legitimen Websites Kann nicht aus der Ferne abgefangen werden Die sicherste verfügbare Option Hinweise: Erfordert den Kauf eines physischen Schlüssels Benötigen Sie einen Sicherungsschlüssel Verlustfall Nicht von allen Diensten unterstützt Sicherheitsschlüssel sind ideal für Konten mit hohem Wert wie Finanzsysteme.

What Is MFA-Einrichtung und Best Practices?

What You'll Learn in MFA-Einrichtung und Best Practices

MFA-Einrichtung und Best Practices — Training Steps

Willkommen bei Valcrest Financial Services

Warum Passwörter nicht ausreichen

Die E-Mail der MFA-Initiative

Zugriff auf das Sicherheitsportal

Anmelden beim Sicherheitsportal

MFA-Faktoren verstehen

MFA-Optionen anzeigen

MFA-Optionen: SMS-Codes

MFA-Optionen: Authentifizierungs-Apps

MFA-Optionen: Hardware-Sicherheitsschlüssel