Wat is phishing-resistente MFA? Moderne beveiliging

Wat is phishing-resistente MFA?

Uw gebruiker heeft om 2 uur 's nachts zijn vijftiende MFA-pushmelding goedgekeurd omdat de waarschuwingen niet stopten. De aanvaller heeft nu geauthenticeerde toegang tot uw netwerk. Dit scenario komt regelmatig voor: MFA-vermoeidheidsaanvallen komen voor in 14% van de beveiligingsincidenten die zijn geanalyseerd in het 2025 Verizon Data Breach Investigations Report, waardoor MFA-vermoeidheid de dominante omzeilingsmethode is. Social engineering is de belangrijkste kwetsbaarheid geworden in traditionele multi-factor authenticatie.

Phishing-resistente MFA elimineert deze kwetsbaarheid via een cryptografische architectuur die het stelen van inloggegevens structureel onmogelijk maakt. Volgens het National Institute of Standards and Technology vereist phishing-resistente authenticatie "wachtwoord of biometrie + asymmetrische sleutel cryptografische processen (PIV, CAC, FIDO2)." De Cybersecurity and Infrastructure Security Agency (CISA) bestempelt deze aanpak als "de gouden standaard voor MFA" en erkent slechts twee goedgekeurde implementaties: FIDO/WebAuthn-authenticatie en PKI-gebaseerde authenticatie.

Traditionele MFA-methoden verzenden inloggegevens die aanvallers kunnen onderscheppen en opnieuw kunnen gebruiken. SMS-codes, pushmeldingen en eenmalige wachtwoorden zijn niet cryptografisch gebonden aan legitieme authenticatie-eindpunten. Een aanvaller kan ze binnen het geldigheidsvenster tussen het slachtoffer en een nep-inlogpagina doorgeven. Phishing-resistente MFA gebruikt asymmetrische cryptografie waarbij privésleutels het authenticatieapparaat nooit verlaten en authenticatie-uitdagingen cryptografisch aan specifieke domeinen worden gebonden. Wanneer u probeert te authenticeren op een phishing-site, kan het authenticatieapparaat geen geldige handtekening genereren omdat het domein niet overeenkomt. Authenticatie mislukt voordat enige gebruikersinteractie de beveiliging kan compromitteren.

De definitie begrijpen is één ding. Inzien waarom het belangrijk is, vereist inzicht in de schaal van inloggegevens-gebaseerde aanvallen die organisaties vandaag de dag treffen.

Hoe phishing-resistente MFA zich verhoudt tot cybersecurity

Het FBI Internet Crime Complaint Center ontving in 2024 193.407 phishing-meldingen, wat aanzienlijke cybercriminaliteit vertegenwoordigt die is ingediend bij het belangrijkste meldpunt van de federale overheid. Misbruik van inloggegevens kwam voor in 90% van de bevestigde webapplicatie-incidenten in de afgelopen 18 maanden volgens de analyse van Verizon.

Incidenten uit de praktijk tonen aan waarom traditionele MFA faalt tegen vastberaden aanvallers. In september 2022 leed Uber een datalek toen een aanvaller een medewerker bestookte met MFA-pushmeldingen totdat de medewerker er een goedkeurde. De aanvaller kreeg toegang tot interne systemen, waaronder Slack, Google Workspace en kwetsbaarheidsrapporten. In mei 2022 maakte Cisco een datalek bekend waarbij aanvallers gebruikmaakten van voice phishing om een medewerker te overtuigen MFA-pushmeldingen goed te keuren nadat VPN-inloggegevens waren gestolen. Het resultaat was ongeautoriseerde toegang tot interne systemen en data-exfiltratie.

CISA's dreigingsinformatie identificeert dat tegenstanders, waaronder de Scattered Spider-groep, technieken voor het onderscheppen en doorgeven van inloggegevens gebruiken om netwerktoegang te verkrijgen. Traditionele MFA biedt slechts beperkte bescherming tegen deze methoden. Phishing-resistente MFA stopt zowel offline diefstal van inloggegevens als realtime phishing omdat elke authenticatieaanvraag nieuwe cryptografische uitdagingen vereist die aanvallers niet kunnen vervalsen zonder de privésleutel op het authenticatieapparaat.

Security operations-teams die authenticatiepatronen monitoren, hebben ook inzicht nodig in gedrag na authenticatie. Platformen zoals het Singularity Platform correleren authenticatiegebeurtenissen met endpoint-activiteit om te detecteren wanneer aanvallers overstappen op lateral movement of privilege escalation nadat legitieme gebruikers zijn geauthenticeerd. Maar voordat u monitoring toevoegt, moet u de bouwstenen begrijpen die phishing-resistente authenticatie mogelijk maken.

Kerncomponenten van phishing-resistente MFA

Phishing-resistente MFA is gebaseerd op een fundamenteel ander inloggegevensmodel dan traditionele authenticatie. In plaats van gedeelde geheimen die beide partijen kennen, gebruikt het asymmetrische sleutelpaar waarbij alleen het authenticatieapparaat de privésleutel bezit.

Wanneer u zich registreert bij een FIDO2-ondersteunde dienst, genereert uw clientapparaat een sleutelpaar dat alleen werkt voor die specifieke applicatie. Uw privésleutel verlaat het apparaat nooit. De dienst registreert uw publieke sleutel maar bezit nooit geheime inloggegevens. Elke dienst ontvangt een uniek sleutelpaar, waardoor correlatie van inloggegevens tussen sites wordt voorkomen. Biometrische gegevens en privésleutels worden opgeslagen in beveiligde hardware, wat bescherming biedt tegen apparaatcompromittering.

Phishing-resistente authenticatie is afhankelijk van drie primaire typen authenticatieapparaten:

• Hardwarebeveiligingssleutels bieden apparaatgebonden, niet-exporteerbare sleutels opgeslagen in sabotagebestendige hardware. U verbindt ze via USB, NFC of Bluetooth. Deze zijn het meest geschikt voor privileged access management, gedeelde werkplekomgevingen en scenario's met hoge beveiliging die hardware-attestatie vereisen.
• Platform authenticators zijn direct ingebouwd in uw apparaten via Windows Hello, Apple Touch ID en Face ID. Volgens de FIDO2-documentatie van Microsoft gebruiken deze authenticators hardwarebeveiligingsmodules: Trusted Platform Modules (TPM's) op Windows, Secure Enclaves op Apple-apparaten en hardware-ondersteunde keystores op Android. U authenticeert via biometrische mogelijkheden en cryptografische sleutels opgeslagen binnen deze hardwarebeveiligde modules.
• Passkeys zijn vindbare FIDO-inloggegevens die van nature phishing-resistent zijn. Apparaatgebonden passkeys worden opgeslagen in hardwarebeveiligingsmodules en kunnen niet worden geëxporteerd, wat de hoogste beveiligingsgarantie biedt. Gesynchroniseerde passkeys worden via de cloud gesynchroniseerd tussen uw apparaten met end-to-end encryptie, waarbij gemak wordt gecombineerd met het cryptografische karakter van phishing-resistente authenticatie.

Elk van deze componenten neemt deel aan een gestructureerde authenticatieceremonie die phishing stopt via cryptografische domeinbinding. De volgende sectie beschrijft stap voor stap hoe die ceremonie werkt.

Hoe phishing-resistente MFA werkt

De authenticatieceremonie stopt phishing via domeinbinding op protocolniveau. Wanneer u registratie initieert, genereert de website van de relying party een cryptografische uitdaging met willekeurige gegevens die uniek zijn voor die registratie. Uw clientapparaat maakt een uniek sleutelpaar specifiek voor dat domein.

Uw authenticator ondertekent de uitdaging met de nieuw aangemaakte privésleutel, en de FIDO-server slaat de publieke sleutel op die is gekoppeld aan zowel uw gebruikersaccount als authenticatormetadata. Tijdens authenticatie vraagt de authenticator om biometrische verificatie, pincode-invoer of bevestiging van fysieke aanwezigheid. Het systeem controleert of het domein overeenkomt met een geregistreerde inloggegevens voor die specifieke oorsprong. Als u zich op een phishing-site bevindt, vindt uw authenticator geen overeenkomende inloggegevens en mislukt de authenticatie voordat u de beveiliging kunt compromitteren.

Elke authenticatie genereert unieke cryptografische handtekeningen die niet kunnen worden hergebruikt of doorgestuurd. Dit maakt man-in-the-middle-aanvallen ineffectief. Aanvallers kunnen proxysites maken die identiek zijn aan legitieme diensten, maar de cryptografische challenge-response is gebonden aan het specifieke oorsprongsdomein. De proxy kan de vereiste handtekening niet vervalsen omdat deze het legitieme domein niet beheert en uw privésleutel niet bezit.

Deze bescherming op protocolniveau onderscheidt phishing-resistente MFA van de traditionele methoden waarop de meeste organisaties nog steeds vertrouwen.

Phishing-resistente MFA versus traditionele MFA

Standaard MFA voegt een tweede factor toe aan wachtwoordgebaseerde login, maar de meeste implementaties zijn nog steeds afhankelijk van gedeelde geheimen die aanvallers kunnen onderscheppen. Het verschil tussen traditionele en phishing-resistente benaderingen komt neer op de vraag of inloggegevens tijdens het authenticatieproces zelf kunnen worden gestolen.

Waarom traditionele MFA-methoden falen

SMS- en spraakgebaseerde eenmalige wachtwoorden reizen via telecomnetwerken waar aanvallers ze kunnen onderscheppen via SIM-swapping of SS7-protocol-exploitatie. Authenticator-apps genereren tijdgebaseerde codes die gebruikers invoeren in inlogformulieren, en realtime phishing-proxy's vangen deze codes op wanneer gebruikers ze invoeren op nepwebsites. 

Pushmeldingen vragen gebruikers om inlogverzoeken goed te keuren, maar MFA-vermoeidheidsaanvallen bestoken gebruikers met herhaalde verzoeken totdat ze er een goedkeuren. Elk van deze methoden verzendt een herbruikbare inloggegevens of is afhankelijk van het beoordelingsvermogen van de gebruiker om legitieme van frauduleuze verzoeken te onderscheiden.

Hoe phishing-resistente MFA het gat dicht

Phishing-resistente MFA elimineert beide problemen. FIDO2/WebAuthn en PKI-gebaseerde authenticatie gebruiken asymmetrische cryptografie waarbij privésleutels het authenticatieapparaat nooit verlaten en elke authenticatierespons cryptografisch is gebonden aan het aanvragende domein. Er wordt geen inloggegeven over het netwerk verzonden dat een aanvaller kan onderscheppen. 

Geen enkele gebruikersbeslissing bepaalt of een verzoek legitiem is, omdat het protocol domeinverificatie automatisch afdwingt. Google rapporteerde nul succesvolle phishing-aanvallen tegen zijn 85.000+ medewerkers na de uitrol van FIDO-beveiligingssleutels, en de implementatie van phishing-resistente MFA door Microsoft beschermt nu 92% van de medewerkersaccounts met deze methoden.

Het verschil tussen deze benaderingen zal blijven groeien naarmate aanvallers AI-gestuurde social engineering inzetten die realtime onderschepping van inloggegevens sneller en overtuigender maakt. Die groeiende kloof is precies de reden waarom toezichthouders en standaardisatie-instanties nu phishing-resistente methoden verplicht stellen.

Phishing-resistente MFA: compliance en regelgeving

Federale verplichtingen en wereldwijde standaarden vereisen of bevelen nu phishing-resistente authenticatie aan, waardoor compliance een belangrijke drijfveer voor adoptie is naast de beveiligingsvoordelen.

De belangrijkste kaders die adoptie stimuleren zijn onder andere:

• OMB Memorandum M-22-09, uitgegeven in januari 2022 onder Executive Order 14028, verplichtte alle federale agentschappen tot implementatie van phishing-resistente MFA voor medewerkers, aannemers en partners als onderdeel van een Zero Trust-architectuurstrategie. Het memorandum stelt expliciet dat agentschappen moeten stoppen met het ondersteunen van authenticatiemethoden die niet bestand zijn tegen phishing, waaronder SMS-codes, spraakoproepen, eenmalige wachtwoorden en eenvoudige pushmeldingen. Publiek toegankelijke overheidssystemen moeten ook phishing-resistente opties aanbieden aan algemene gebruikers.
• CISA's Zero Trust Maturity Model positioneert phishing-resistente MFA als een fundamentele vereiste onder de Identity-pijler. Op het optimale volwassenheidsniveau implementeren organisaties phishing-resistente authenticatie voor alle gebruikers en alle toegangsscenario's.
• NIST Special Publication 800-63B definieert Authentication Assurance Level 3 (AAL3) als het vereisen van hardwaregebaseerde, phishing-resistente authenticators met cryptografisch bewijs van bezit.

Buiten de Amerikaanse federale overheid beïnvloeden deze vereisten gereguleerde sectoren wereldwijd. Financiële instellingen, zorgorganisaties en defensieaannemers die met federale agentschappen werken, moeten aan dezelfde authenticatiestandaarden voldoen. De NIS2-richtlijn van de Europese Unie vereist sterkere authenticatiecontroles voor exploitanten van kritieke infrastructuur, en private sector-kaders zoals PCI DSS 4.0 bevelen nu phishing-resistente authenticatie aan voor administratieve toegang tot cardholder data-omgevingen.

Organisaties die adoptie uitstellen lopen zowel regelgevingsrisico als verzekeringsimplicaties, aangezien cyberverzekeraars steeds vaker phishing-resistente MFA eisen voor polisgeschiktheid. Afgezien van compliance maken de beveiligingsvoordelen zelf een sterk pleidooi voor adoptie.

Belangrijkste voordelen van phishing-resistente MFA

U elimineert aanvallen met gestolen inloggegevens. De 36% van de consumenten die volgens de FIDO Alliance-enquête van 2025 te maken kreeg met accountcompromittering door zwakke of gestolen inloggegevens, krijgt bescherming via cryptografische binding die diefstal van inloggegevens technisch onmogelijk maakt.

Phishing-resistente MFA biedt bescherming tegen de aanvallen die traditionele authenticatie systematisch compromitteren:

• SIM-swapaanvallen waarbij aanvallers telecomproviders overtuigen om het telefoonnummer over te zetten, falen omdat authenticatie is gebonden aan cryptografische sleutels op specifieke hardware, niet aan telefoonnummers.
• Adversary-in-the-middle-aanvallen die inloggegevens en sessietokens onderscheppen, falen omdat elke authenticatieaanvraag nieuwe cryptografische uitdagingen vereist die specifiek zijn voor het legitieme domein.
• MFA-vermoeidheidsaanvallen die gebruikers bestoken met goedkeuringsverzoeken, falen omdat authenticatie fysieke aanwezigheid van het authenticatieapparaat met gebruikersverificatie vereist.

Deze beschermingsmechanismen leveren concrete beveiligingsverbeteringen op, maar organisaties moeten ook zicht houden op patronen voorbij de authenticatielaag om afwijkende toegang te detecteren die wijst op accountcompromittering via niet-inloggegevens-gebaseerde aanvalsmethoden. Het realiseren van deze voordelen vereist echter het overwinnen van enkele implementatie-uitdagingen.

Uitdagingen bij het implementeren van phishing-resistente MFA

Het uitrollen van phishing-resistente MFA in een organisatie is geen eenvoudige configuratiewijziging. Organisaties worden geconfronteerd met architecturale, operationele en strategische uitdagingen die zorgvuldige planning vereisen om te overwinnen.

Compatibiliteit met legacy-applicaties

Legacy-applicaties vormen de grootste architecturale beperking. Volgens CISA- en FIDO Alliance-richtlijnen vereisen FIDO2 en WebAuthn moderne webbrowsers en besturingssystemen. Applicaties die legacy-authenticatieprotocollen gebruiken, kunnen FIDO2 niet direct ondersteunen zonder architecturale aanpassingen.

U moet authenticatiemethoden afstemmen op applicatiecapaciteiten: moderne webapplicaties ondersteunen native FIDO2/WebAuthn, legacy-applicaties vereisen mogelijk PKI-gebaseerde authenticatie of protocolbrugoplossingen, en besturingssysteemlogin vereist FIDO-beveiligingssleutels of platform authenticators. Oudere besturingssystemen kunnen externe authenticators zoals FIDO2-beveiligingssleutels vereisen. Volledige FIDO2-migratie kan meerdere jaren duren voor complexe IT-omgevingen, wat gefaseerde uitrolstrategieën vereist die prioriteit geven aan gebruikers en systemen met hoge waarde.

Integratie met identity lifecycle

Integratie met identity lifecycle management vereist ook zorgvuldige planning. U moet provisioning en deprovisioning van authenticators opnemen in bestaande IAM-workflows om joiner-mover-leaver-gebeurtenissen te ondersteunen. Uw FIDO-serverinfrastructuur heeft gebruikersselfservice, administratieve lifecyclecontrole, API-gateway-integratie en beleidsafdwinging nodig die aansluiten bij het gecentraliseerde ICAM-model voor bedrijfsimplementaties.

Voortschrijdende aanvallerstactieken

Aanvallers passen zich aan verdedigingsmaatregelen aan. Hoewel phishing-resistente MFA credential phishing en traditionele MFA-omzeiltechnieken elimineert, schakelen vastberaden aanvallers over op andere methoden. U blijft geconfronteerd met endpoint-compromittering, applicatiekwetsbaarheden, social engineering gericht op andere beveiligingsmaatregelen en supply chain-aanvallen. Phishing-resistente MFA biedt sterke authenticatiebeveiliging maar vereist integratie in bredere defense-in-depth-strategieën. Zelfs met deze uitdagingen onder controle, ondermijnen veel organisaties hun eigen implementaties door vermijdbare fouten.

Veelvoorkomende fouten bij phishing-resistente MFA

Organisaties die phishing-resistente MFA implementeren, kunnen hun beveiligingspositie alsnog verzwakken door implementatiefouten. De meest schadelijke fouten herintroduceren dezelfde kwetsbaarheden die phishing-resistente authenticatie juist moest oplossen.

• Het behouden van fallback-opties naar niet-phishing-resistente methoden creëert uitbuitbare beveiligingsgaten. Organisaties implementeren FIDO2 voor primaire authenticatie maar houden SMS-codes of pushmeldingen als back-upopties. Aanvallers vinden en richten zich op deze fallback-mechanismen, waardoor gebruikers worden gedwongen tot minder veilige authenticatiepaden. U moet alle legacy-authenticatiemethoden elimineren zodra de uitrol van phishing-resistente MFA is voltooid, en basisauthenticatie, SMS-codes en alleen-wachtwoordtoegang blokkeren.
• Onvoldoende dekking van apparaten en platforms creëert omzeilingsmogelijkheden. Uitrolplanning die zich alleen richt op door het bedrijf beheerde apparaten laat gaten voor BYOD-scenario's, toegang door aannemers en partnerfederatie. Aanvallers manipuleren inlogprocessen om MFA te omzeilen door te beweren dat apparaten geen sterke authenticatie ondersteunen. U heeft handhavingsbeleid nodig dat authenticatiedowngrade-aanvallen voorkomt.
• Het niet integreren van authenticators met identity lifecycle-workflows creëert operationele lasten en beveiligingsgaten. Authenticators uitrollen zonder automatische provisioning tijdens onboarding of automatische intrekking tijdens offboarding leidt tot verouderde inloggegevens. Volgens het Identity Lifecycle Management Playbook van IDManagement.gov hebben organisaties richtlijnen nodig over "hoe phishing-resistente authenticators te ondersteunen" binnen joiner-mover-leaver-processen. Handmatige processen voor credential lifecycle management schalen niet en creëren periodes waarin ex-medewerkers authenticatiemogelijkheden behouden.
• Onvoldoende planning voor account recovery creëert extra kwetsbaarheden. Wanneer u niet meerdere authenticators vereist bij registratie, lopen gebruikers met slechts één authenticator het risico op uitsluiting als ze hun beveiligingssleutel kwijtraken of hun telefoon vervangen zonder credentialmigratie. Volgens de FIDO Alliance enterprise deployment guide voorkomt het vereisen van meerdere authenticators accountuitsluiting. Herstelmechanismen moeten phishing-resistente eigenschappen behouden om geen nieuwe social engineering-aanvalsoppervlakken te creëren.

Al deze fouten hebben één gemene deler: ze introduceren gaten die uw authenticatiepositie terugbrengen naar dezelfde zwaktes die phishing-resistente MFA moest elimineren. De volgende best practices helpen u deze te vermijden.

Best practices voor phishing-resistente MFA

Succesvolle implementaties volgen een gestructureerde aanpak die beveiligingswinst in balans brengt met operationele gereedheid. Deze praktijken zijn gebaseerd op CISA-richtlijnen, FIDO Alliance-aanbevelingen voor bedrijfsimplementatie en gedocumenteerde federale implementaties.

Bouw voort op gecentraliseerde identity-infrastructuur

Begin met gecentraliseerde Identity, Credential en Access Management-platforms. De FIDO-implementatie van het Amerikaanse ministerie van Landbouw, door CISA gedocumenteerd als succesverhaal, gebruikte bestaande SSO-platforms om FIDO-authenticatiemethoden mogelijk te maken. USDA bood phishing-resistente authenticatie aan gebruikers zonder PIV-kaarten via gecentraliseerde architectuur. U bereikt snellere uitrol en betere gebruikerservaring door voort te bouwen op bestaande identity-infrastructuur.

Geef prioriteit aan gebruikers en systemen met hoge waarde

Implementeer phishing-resistente MFA direct voor systeembeheerders, directieleden, juristen, HR-medewerkers en topmanagement. Richt u op sterk doelgerichte middelen zoals e-mailsystemen, fileservers, remote access-systemen en beheerdersconsoles. U vermindert risicoconcentratie en doet operationele ervaring op met beperkte gebruikerspopulaties voordat u organisatiebreed uitrolt.

Implementeer gefaseerde handhaving

Begin met het uitgeven van phishing-resistente inloggegevens aan gebruikers die klaar zijn voor wachtwoordloze authenticatie op beheerde apparaten. Ga over op beleidsafdwinging die phishing-resistente MFA vereist voor toegang tot middelen. Rond de transitie af door alle gebruikers te verplichten te authenticeren met phishing-resistente inloggegevens. Deze gefaseerde aanpak voorkomt operationele verstoring en behoudt beveiligingsverbeteringen in elke fase.

Ondersteun meerdere phishing-resistente methoden

Plan hybride authenticatiestrategieën die zowel FIDO2- als PKI-gebaseerde methoden ondersteunen. FIDO2 biedt optimale gebruikerservaring voor cloudapplicaties, terwijl PKI-certificaatgebaseerde authenticatie volwassen infrastructuur biedt voor legacy-systemen met strenge regelgevingseisen. Door meerdere phishing-resistente methoden te ondersteunen, behoudt u flexibiliteit zonder terug te vallen op niet-phishing-resistente opties.

Vereis registratie van meerdere authenticators

Vereis registratie van meerdere authenticators tijdens de initiële aanmelding om uitsluitingsscenario's te voorkomen. Organisaties kunnen zowel platform authenticators als hardwarebeveiligingssleutels vereisen, of meerdere authenticators van hetzelfde type als back-up inloggegevens ondersteunen. Herstelprocessen moeten cryptografische beveiliging behouden via mechanismen zoals back-up authenticators of veilige account recovery-procedures.

Elimineer legacy-authenticatiemethoden

Dwing volledige eliminatie van legacy-authenticatiemethoden af zodra de uitrol voldoende is voltooid. Uw beleidsengine blokkeert basisauthenticatie, SMS-codes, alleen-wachtwoordtoegang en traditionele pushmeldingen voor alle applicaties. Regelmatige audits sporen applicaties op die nog legacy-authenticatie accepteren en geven prioriteit aan hun migratie of uitfasering.

Het volgen van deze praktijken geeft u een sterke authenticatiebasis, maar authenticatie alleen dekt niet het volledige aanvalsoppervlak. U heeft ook inzicht nodig in wat er gebeurt nadat gebruikers succesvol zijn ingelogd.

Versterk phishing-resistente MFA met SentinelOne

SentinelOne's Singularity Platform biedt identity threat detection and response (ITDR)-mogelijkheden die authenticatiebeveiliging uitbreiden naar activiteiten na het inloggen. Het platform correleert authenticatiegebeurtenissen met endpoint-gedrag, netwerkactiviteit en gebruikersacties. Purple AI versnelt het onderzoek naar authenticatie-anomalieën via natuurlijke taalqueries, vermindert het aantal meldingen met 88% en verlaagt de handmatige inspanning van securityteams voor analyse van authenticatiepatronen. U krijgt inzicht in authenticatie-velocity-anomalieën, geografisch onmogelijke scenario's, wijzigingen in apparaatfingerprints en afwijkingen in toegangs­patronen die wijzen op misbruik van inloggegevens.

Singularity Identity beschermt uw identity-infrastructuur met realtime verdediging voor Active Directory en cloud identity providers, waaronder Entra ID. Wanneer gedragsafwijkingen wijzen op ongebruikelijke privilege escalation, pogingen tot credential dumping of lateral movement na authenticatiegebeurtenissen, reconstrueert de Storyline-technologie van het Singularity Platform het volledige aanvalsnarratief, waardoor sneller onderzoek en autonome respons mogelijk zijn.

Phishing-resistente MFA creëert een structureel veilige authenticatiebasis. U maximaliseert deze investering door aanvullende cybersecuritytools te implementeren die activiteiten na authenticatie monitoren, gedragsafwijkingen detecteren die wijzen op compromittering en autonoom reageren op bedreigingen die zich richten op kwetsbaarheden buiten de inloggegevenslaag.

Vraag een demo aan bij SentinelOne om te zien hoe correlatie van authenticatiegebeurtenissen met endpoint-gedrag volledige dreigingszichtbaarheid oplevert.

Belangrijkste inzichten

Phishing-resistente MFA elimineert credential phishing via asymmetrische cryptografie en domeinbinding die diefstal van inloggegevens structureel onmogelijk maakt. CISA erkent FIDO/WebAuthn en PKI-gebaseerde authenticatie als de enige goedgekeurde phishing-resistente methoden. 

Traditionele MFA faalt systematisch tegen moderne aanvallen, waarbij MFA-vermoeidheid voorkomt in 14% van de incidenten en misbruik van inloggegevens leidt tot 90% van de webapplicatie-incidenten.