Az Egyesült Államok Kiberbiztonsági Ügynöksége (CISA) a többtényezős hitelesítésre (MFA) vonatkozóan tett közzé irányelveket, amelyek segíthetnek felvenni a harcot az adathalász támadásokkal szemben. A CISA a többtényezős hitelesítés mielőbbi bevezetését javasolja a szervezetek számára.
A Kiberügynökség által közzétett dokumentumok közül az első, több olyan módszert is bemutat, amelyekkel a rosszindulatú szereplők hozzáférést nyerhetnek a MFA hitelesítő adatokhoz. Ilyen például az adathalászat, az SS7 protokoll sebezhetőségeinek kihasználása, a SIM csere és az ún. push fatigue ─ amely során olyan sokszor küldik el a kétfaktoros push üzenetet az áldozat eszközére egymás után, hogy az áldozat vagy véletlenül rákoppintva fogadja el azt, vagy csak megunja, hogy elárasztják az üzenetek. Az ilyen jellegű támadók ellen a CISA az adathalász elleni MFA megoldások, mint a FIDO/WebAuthn és a nyilvános kulcsú infrastruktúrák (PKI) vagy az egyszer használatos jelszómegoldások (OTP) telepítését javasolja.
A második dokumentum további információkat tartalmaz a fenyegetettségekről és a mobil push üzeneteken alapuló MFA védekezésről. A CISA külön figyelmet fordít a számegyeztetésen alapuló MFA megoldásokra, amely során egy számsor megadása után hagyják csak jóvá a hitelesítési kérelmet. Bár ezen technika nem nyújt akkora védelmet, mint az adathalászat elleni MFA megoldások, azon szervezeteknek, akik nem tudnak bevezetni egy megbízható MFA verziót mindenképp javasolt legalább a számegyeztetésen alapuló megoldás használata.
