Niets nieuw eigelijk. Ze kunnen beter bedrijven aanraden om logins via proxy te melden aan de gebruiker. Of logins van onbekende plekken/apparaten.

Verouderd advies van de FBI. Op hardware keys na geven alle mij bekende vormen van MFA schijnveiligheid, leiden af van waar je echt op moet letten en geven gedonder als jouw telefoon stuk is, je deze thuis hebt laten liggen of de accu leeg is.

Gebruik een wachtwoordmanager (zoals KeePass)
Om credential stuffing-aanvallen te voorkomen, raad niet alleen ik een wachtwoordmanager aan met lange, unieke random gegenereerde wachtwoorden (in elk geval zolang we geen passkeys hebben).

Belangrijk is wel dat je zorgt voor betrouwbare back-ups van de database daarvan, en dat je de wachtwoordmanager uitsluitend opent op betrouwbare apparaten en software (Nb. om kopiejatten van de inloggegevens van een website te voorkomen, heb je sowieso een betrouwbaar apparaat en software -zonder keyloggers en dergelijke- nodig als je ergens inlogt).

En check de domeinnaam + slotje
Om te voorkomen dat je slachtoffer wordt van phishing, moet je, bij het aanmaken van elk account (bij het gegenereerde wachtwoord) de exacte domeinnaam van de betreffende website opslaan in jouw wachtwoordmanager.

Als je ooit door het klikken op een link op een website terechtkomt, waarvan je denkt dat het een website is waar jij een account hebt, moet je, vóórdat je ook maar iets invult, zorgvuldig controleren of het essentiële deel van de domeinnaam van die website exact overeenkomt met het essentiële deel van de opgeslagen domeinnaam in jouw wachtwoordmanager én dat jouw webbrowser op de juiste plaats een slotje toont (zonder doorhalingen) ten teken dat er sprake is van eem gevalideerde "https://" verbinding.

Met het "essentiële deel" bedoel ik dat als je normaal gesproken inlogt op
"https://bankieren.rabobank.nl/" dat de volgende link ook veilig is:
"https://ideal.rabobank.nl/".

Toelichtingen:
Wat je moet weten om redelijk veilig te kunnen surfen (lange post): https://security.nl/posting/765191

Neppe domeinnamen lijken vaak echt, maar helaas ook vaak andersom (lange post): https://security.nl/posting/765222

Waarom de meeste vormen van MFA kansloos zijn (en waarom uit bovenstaand artikel blijkt dat "Number Matching" en/of geofencing ook niet helpen): https://www.security.nl/posting/764727/Microsoft+meldt+phishingaanval+op+tientallen+organisaties+en+%22people+of+interest%22#posting764738

Bring back the retail-market,and less internet shopping

The Matrix

Project No More Leaks (https://www.security.nl/posting/758930/Politie+gaat+hashes+van+gestolen+inloggegevens+met+bedrijven+delen) is een zeer effectief middel tegen credential stuffing aanvallen gebleken. Proxies of niet, één login met (bij de politie bekende) uitgelekte inloggegevens is voldoende om als bedrijf actie te kunnen ondernemen (bijvoorbeeld de inlogpoging stoppen of de wetenschap dat het een uitgelekt account betreft meenemen in de risico analyse).