Suivre l'abandon de la MFA dans le Journal système

L'abandon de l'authentification multifacteur (MFA) fait référence à une tentative d'authentification qui est interrompue pendant le processus, car l'utilisateur n'a pas effectué la vérification.

Le motif de l'abandon peut être légitime, mais il peut également indiquer qu'un compte est attaqué. En suivant ces tentatives de MFA abandonnées dans le Journal système, vous pouvez obtenir des insights sur les schémas d'attaque et identifier les comptes ciblés. Cela vous permet d'atténuer les attaques potentielles.

Il existe de nombreuses raisons pour lesquelles un utilisateur légitime pourrait ne pas effectuer la vérification MFA . Il peut avoir des problèmes avec son appareil ou une application, ou ils peuvent manquer de connectivité. Il est toutefois possible qu'une personne malveillante essaie d'accéder au compte en utilisant des informations d'identification volées ou devinées. Leur vérification MFA échoue s'ils n'ont pas accès à l'appareil ou à une application MFA , ou si l'invite MFA est trop difficile à intercepter. Okta peut également détecter une activité suspecte et demander une vérification supplémentaire. L'attaquant ne peut pas se connecter, car il ne peut pas effectuer les vérifications par MFA .

Résultats de MFA

Les tentatives de MFA abandonnées sont enregistrées dans le Journal système sous l'événement . authentification.auth_via_mfa. Cet événement affiche les résultats SANS RÉPONSE ou ABANDONNÉE .

  • SANS RÉPONSE:
    • L'utilisateur a ignoré certaines méthodes de sécurité disponibles, mais a satisfait aux exigences d'assurance avec d'autres options. L'utilisateur a obtenu une session.
    • Cette entrée apparaît dans le Journal système lorsque l'utilisateur réussit à se connecter.
    • Vous pouvez utiliser la valeur du champ AuthnRequestId pour rechercher des événements liés dans le journal de connexion.
  • ABANDONNÉE:
    • L'utilisateur n'était pas en mesure d'effectuer les vérifications par MFA à temps, ne pouvait pas se connecter et, par conséquent, n'était pas autorisé à ouvrir une session. Il est également possible que l'utilisateur ait cessé de tenter de se connecter.
    • Les requêtes d'authentification et récupération expirent lorsque l'utilisateur ne répond pas à la l'authentification à temps. Cette entrée peut apparaître dans le Journal système après 30 minutes d'inactivité pour chaque méthode de sécurité abandonnée.
    • Vous pouvez utiliser la valeur du champ AuthnRequestId pour rechercher des événements liés dans le journal de connexion.

Pour ces deux résultats, consultez ces champs pour obtenir des informations afin de suivre les problèmes de sécurité potentiels :

  • L'heure du champ AuthenticatorMethodCallengeTime indique le moment où la vérification a été présentée à l'utilisateur.
  • Vous pouvez utiliser la valeur du champ AuthnRequestId pour rechercher des événements liés dans le journal de connexion.