De mantra "MFA fixt phishing" stamt uit 2018 en klopte toen. Inmiddels niet meer. Aanvallers gebruiken evilginx en Modlishka om sessiecookies te stelen achter een MFA-prompt langs, en MFA fatigue-aanvallen breken push-meldingen door simpel volume. Wie nog op SMS of Authenticator-push leunt voor admins of finance, draait roulette.

Waarom SMS en push falen

SMS is kwetsbaar voor SIM-swap en SS7-onderschepping. Een aanvaller die uw nummer kortstondig overneemt, krijgt elke verificatiecode. Push-MFA faalt op MFA fatigue: de aanvaller stuurt twintig push-prompts achter elkaar, de gebruiker tikt er één per ongeluk goed. Bij Uber lukte dit in 2022. Beide methoden zijn ook kwetsbaar voor AiTM-proxies die de hele login-flow doorrouten en de sessiecookie wegtrekken.

FIDO2 als phishing-resistant standaard

FIDO2 hardware-keys (YubiKey, SoloKey, Token2) gebruiken public-key cryptografie en binden het login-domein aan de signing-operatie. Een aanvaller op evilginx-proxy krijgt nooit een geldige assertion, want de browser weigert te tekenen voor het verkeerde domein. Dit is geen gradatie van bescherming, dit is een ander securitymodel.

Passkeys als softwarealternatief

Passkeys leveren dezelfde FIDO2-cryptografie zonder hardware-token, opgeslagen in iCloud Keychain, Google Password Manager of Microsoft Authenticator. Voor consumenten is dit het pad. Voor bedrijven met regulatoire eisen blijft hardware vaak gewenst, omdat een cloud-synced passkey buiten uw controle wordt opgeslagen. Microsoft Entra ondersteunt sinds 2024 device-bound passkeys voor zakelijk gebruik.

Conditional Access als versterker

Phishing-resistant MFA werkt het sterkst gecombineerd met Conditional Access in Microsoft Entra. Vereis FIDO2 voor admin-accounts, voor finance-rollen en voor logins vanaf onbeheerde apparaten. Sta voor reguliere medewerkers nog Authenticator-push toe, maar blokkeer SMS volledig. Activeer "Authentication Strengths" in Entra om per applicatie een minimum-niveau te eisen.

Uitrol per fase

Begin bij admins en break-glass-accounts. Daarna finance, HR en directie. Daarna medewerkers met toegang tot klantdata. Daarna de rest. Reken op zes tot twaalf maanden voor een organisatie van vijfhonderd man, inclusief levering van YubiKeys, registratieworkshops en een proces voor verloren sleutels. Lever altijd twee sleutels per gebruiker en registreer beide in Entra.

Verwant: Freelance cybersecurity consultant, Freelance Microsoft 365 consultant.