MFA-moeheid: Waarom het een Groeiende Bedreiging Blijft voor Organisaties

februari 19, 2026

Multi-Factor Authenticatie (MFA) geldt als een van de meest effectieve verdedigingslinies tegen ongeautoriseerde toegang tot digitale systemen. Echter, de kracht ervan wordt ondermijnd door een groeiend fenomeen: MFA-moeheid. Dit treedt op wanneer gebruikers zo gewend raken aan het ontvangen en goedkeuren van authenticatieverzoeken dat ze deze zonder kritische beoordeling accepteren. Cybercriminelen maken hier misbruik van via ‘MFA push bombing’, waarbij ze een gebruiker bestoken met een stortvloed aan inlognotificaties, in de hoop dat het slachtoffer uit irritatie of onoplettendheid een frauduleus verzoek goedkeurt. Experts waarschuwen dat MFA fatigue continues to be a threat in 2026 omdat aanvalsmethoden steeds geavanceerder worden en de menselijke factor een constante kwetsbaarheid blijft. Deze tactiek verandert een sterke beveiligingslaag in een potentieel toegangspunt voor kwaadwillenden, wat een proactieve aanpak vereist.

Luister naar dit artikel:

De effectiviteit van aanvallen die inspelen op MFA-moeheid ligt diep geworteld in de menselijke psychologie. Het is geen kwestie van onwil, maar van cognitieve overbelasting. Na tientallen legitieme notificaties per dag schakelt het brein over op een automatische piloot, waarbij de kritische beoordeling van elk individueel verzoek afneemt. Aanvallers versterken dit effect door hun aanvallen strategisch te timen, bijvoorbeeld midden in de nacht of tijdens drukke werkuren, wanneer de kans op een ondoordachte reactie het grootst is. Ze combineren dit vaak met social engineering, zoals een telefoontje van een zogenaamde IT-medewerker die de gebruiker vraagt een ‘testnotificatie’ goed te keuren. Het gebrek aan context in veel standaard MFA-prompts – zoals het tonen van de geografische locatie van de inlogpoging – maakt het voor de gebruiker extra moeilijk om een legitiem verzoek van een malafide te onderscheiden.

Gelukkig evolueren de technologische verdedigingsmechanismen om MFA-moeheid tegen te gaan. Een van de meest effectieve maatregelen is ‘number matching’. Hierbij moet de gebruiker een uniek nummer dat op het inlogscherm verschijnt, overtypen in de authenticator-app. Dit dwingt tot een actieve, bewuste handeling in plaats van een passieve goedkeuring met één tik. Een andere krachtige strategie is adaptieve of risicogebaseerde authenticatie. Dit systeem analyseert de context van elke inlogpoging, zoals het IP-adres, het gebruikte apparaat en het tijdstip. Alleen wanneer een poging als afwijkend of risicovol wordt gemarkeerd, wordt een extra verificatiestap vereist. Dit reduceert het aantal onnodige notificaties aanzienlijk. Daarnaast bieden wachtwoordloze oplossingen, zoals FIDO2 en biometrie, een inherent veiligere en gebruiksvriendelijkere ervaring die de oorzaak van de vermoeidheid bij de bron aanpakt.

advertenties

Technologie alleen is niet voldoende; een robuuste beveiligingsstrategie vereist ook een focus op mensen en processen. Organisaties moeten investeren in doorlopende security awareness training om medewerkers te leren hoe ze een MFA push bombing-aanval kunnen herkennen en wat de juiste procedure is om deze te melden. Het is essentieel om een cultuur te bevorderen waarin het veilig is om een fout te melden, zoals het per ongeluk goedkeuren van een verdacht verzoek, zonder angst voor repercussies. Op beleidsniveau kunnen bedrijven technische limieten instellen voor het aantal MFA-verzoeken per gebruiker binnen een bepaald tijdsbestek (rate limiting). Daarnaast is het cruciaal om een duidelijk incident response-plan te hebben, zodat IT-teams snel kunnen handelen om een gecompromitteerd account te beveiligen en de impact van een succesvolle aanval te minimaliseren.

Olivia Nolan is redacteur bij MSP2Day, waar zij zich richt op het vertalen van complexe IT- en technologische ontwikkelingen naar toegankelijke en inspirerende artikelen. Met haar ervaring als content manager en social media expert weet zij inhoud niet alleen informatief, maar ook aantrekkelijk en relevant te maken voor een breed publiek.

Kritieke Cisco Zero-Day Kwetsbaarheid (CVE-2023-20198): Wat U Moet Weten en Hoe Te Handelen

Kritieke VMware vCenter Server Kwetsbaarheid: Een FinOps Noodzaak