By się zalogować trzeba kliknąć odpowiedni przycisk na telefonie.

Możesz tak zaakceptować cudzą prośbę o zalogowanie na swoje konto.

Prośba o wybór cyfry zmniejsza ryzyko ale go nie eliminuje 100%. Tak działa na przykład logowanie passwordless do konta Microsoft. I możesz pomyśleć:

Ja nie dam się nabrać na taką próbę! Każdą nie swoją prośbę o logowanie odrzucę.

OK, ale problem w tym, że potencjalny atakujący może takich próśb wysłać wiele. A to może być męczące.

Takie ataki są rzadkie - ale się zdarzają. Wykorzystuje je na przykład grupa DEV-0537.

Angielski termin na ten rodzaj ataku to MFA fatigue.

Co robić?

• Włącz dopasowanie liczb. Wtedy nie wystarczy samo kliknięcie w przycisk. Trzeba jeszcze wybrać/wpisać prawidłową liczbę.
• Jeśli to możliwe dodaj dodatkowy kontekst do powiadomienia. Na przykład wyświetl przybliżoną lokalizację, z której nastąpiła próba logowania.
• Jeśli Cię stać - przejdź na klucze FIDO2/U2F. Wtedy potencjalny atakujący musi mieć fizyczny dostęp do naszego klucza (pomijam tu oczywiście atak na "zdalną pomoc techniczną").
• Niektóre aplikacje pozwalają ustawić limit wysłanych powiadomień w czasie.