L’autenticazione multifattore (MFA), pilastro della sicurezza informatica, nasconde un tallone d’Achille: gli attacchi di MFA fatigue. Gli hacker bombardano le vittime con notifiche di approvazione continue, spingendole a cliccare ‘approva’ per stanchezza o errore, concedendo accesso non autorizzato a conti sensibili.
Questo fenomeno sfrutta il fattore umano, rendendo vani i sistemi di verifica extra come codici SMS o push notification. Casi reali, come l’incidente Uber del 2022, dimostrano come un dipendente esausto possa aprire brecce in reti aziendali protette. Simili tattiche hanno colpito resort di Las Vegas nel 2023, evidenziando la vulnerabilità di implementazioni MFA deboli.
Esperti avvertono: soluzioni basate su SMS sono obsolete per rischi come il SIM swapping, mentre attacchi man-in-the-middle e social engineering aggirano barriere tradizionali. Per contrastare il MFA fatigue, si raccomanda l’adozione di metodi resistenti al phishing, come chiavi FIDO2 o passkey legate al dispositivo, uniti a monitoraggio in tempo reale e formazione utenti.
Organizzazioni devono passare a strategie zero trust, con politiche adaptive basate sul rischio e autenticazione continua, per blindare accessi critici contro minacce evolute e garantire compliance con normative come GDPR e CMMC.