O que é MFA Fatigue?

Como MFA Fatigue funciona?

O atacante já possui a senha e tenta cansar ou confundir a pessoa com prompts repetidos até conseguir uma aprovação indevida.

Por que MFA Fatigue é importante em IAM?

Detectar fadiga de MFA é importante porque o ataque contorna MFA fraco explorando comportamento humano e falta de contexto.

Benefícios do MFA Fatigue

• Ajuda equipes de segurança e TI a tratar MFA Fatigue como um controle governado.
• Cria visibilidade sobre decisões, exceções e eventos relacionados a MFA Fatigue.
• Reduz trabalho manual quando conectado aos processos de IAM.
• Melhora auditoria porque explica quem usa MFA Fatigue, com qual finalidade e regra.
• Apoia o princípio do menor privilégio quando combinado com revisão e monitoramento.

Exemplo prático de MFA Fatigue

Um usuário recebe dezenas de notificações de aprovação fora do horário e aceita uma por engano.

Como implementar MFA Fatigue com segurança?

Para implementar MFA Fatigue com segurança, defina objetivo, sistemas envolvidos, donos responsáveis e evidências necessárias. Depois conecte o processo aos fluxos de Identity Threat Detection and Response, valide exceções e revise periodicamente se o uso continua adequado.

MFA Fatigue e IAM: qual a relação?

MFA Fatigue é um conceito específico dentro de IAM. Ele precisa ser configurado, monitorado e revisado dentro de processos de governança para reduzir risco e manter rastreabilidade.

Riscos e cuidados

MFA baseado apenas em push, sem número de verificação ou contexto, aumenta exposição a esse tipo de ataque.

Erros comuns ao usar MFA Fatigue

• Tratar MFA Fatigue como configuração pontual, sem dono responsável.
• Não documentar regras, exceções e justificativas relacionadas a MFA Fatigue.
• Conceder permissões amplas sem revisar impacto em sistemas críticos.
• Não monitorar eventos, falhas ou mudanças associadas ao uso de MFA Fatigue.
• Manter o controle sem revisão periódica de riscos.

Termos relacionados

• MFA
• ITDR
• Account Takeover
• Phishing-Resistant MFA