Mewngofnodi gydag enw defnyddiwr a chyfrinair yw'r math mwyaf ansicr o ddilysu. Felly, cynghorir sefydliadau sydd am amddiffyn eu cyfrifon yn well i ddewis dulliau dilysu cryfach, megis dilysu dau ffactor (2FA) a safon FIDO2 gan Gynghrair FIDO. Mae hyn yn cael ei ddatgan gan y Ganolfan Seiberddiogelwch Genedlaethol (NCSC) mewn taflen ffeithiau newydd o’r enw “Authenticating adults”.
Yn ôl yr NCSC, mae cyfrifon â breintiau uwch o fewn system, fel cyfrifon gweinyddwyr, yn gynyddol yn darged ymosodiadau. “O ystyried y datblygiad hwn, mae’n hynod bwysig diogelu cyfrifon mewn ffordd briodol. Mae Asesiad Seiberddiogelwch yr Iseldiroedd 2021 yn cymeradwyo pwysigrwydd dilysu da ac yn dangos bod lefel y bygythiad ar gyfer dilysu gwan yn uchel, ”mae gwasanaeth y llywodraeth yn rhybuddio. Felly mae'n argymell dulliau dilysu cryfach fel 2FA.
Nid yw pob math o 2FA yn cael ei greu yn gyfartal. Er enghraifft, mae'r daflen ffeithiau'n nodi mai dilysu dau ffactor gan ddefnyddio SMS neu e-bost yw'r ffurf leiaf diogel o 2FA. Gallai ymosodwr ryng-gipio'r codau mewngofnodi a anfonwyd trwy e-bost neu SMS. Mae defnyddio biometreg fel ail haen o ddiogelwch yn llai agored i ymosodiad o'r fath, ond mae'n ddarostyngedig i gyfreithiau a rheoliadau preifatrwydd fel y Rheoliad Diogelu Data Cyffredinol (GDPR), meddai'r NCSC.
Mae'r llywodraeth hefyd yn cynghori gwahaniaethu rhwng gwahanol gyfrifon ar sail y risg cysylltiedig. Mae cyfrifon effaith uchel, fel rhai gweinyddwyr, angen diogelwch gwahanol i gyfrifon gwesteion, er enghraifft. Gall sefydliadau rannu eu cyfrifon yn gyfrifon effaith isel, canolig ac uchel yn seiliedig ar asesiad risg. Yna gellir sicrhau'r cyfrifon mewn modd priodol gan ddefnyddio'r model aeddfedrwydd ar gyfer dilysu.
Yn olaf, mae'r daflen ffeithiau'n argymell gosod uchafswm o geisiadau mewngofnodi a ganiateir fesul uned o amser ar gyfer pob cleient. Yn ogystal, dylai gweithwyr allu gweld eu hanes mewngofnodi, fel y gallant weld ac adrodd am weithgarwch amheus yn gyflymach.