Die Anmeldung mit Benutzername und Passwort ist die unsicherste Form der Authentifizierung. Organisationen, die ihre Konten besser schützen möchten, wird daher empfohlen, stärkere Authentifizierungsmethoden zu wählen, wie beispielsweise die Zwei-Faktor-Authentifizierung (2FA) und den FIDO2-Standard der FIDO Alliance. Dies stellt das National Cyber Security Center (NCSC) in einem neuen Merkblatt mit dem Titel „Authentifizierung von Erwachsenen“ fest.
Nach Angaben des NCSC sind Konten mit erhöhten Rechten innerhalb eines Systems, wie beispielsweise Administratorkonten, zunehmend Ziel von Angriffen. „Angesichts dieser Entwicklung ist es besonders wichtig, Konten angemessen zu schützen. „Das Cyber Security Assessment Niederlande 2021 unterstreicht die Bedeutung einer guten Authentifizierung und zeigt, dass die Bedrohungslage für eine schwache Authentifizierung hoch ist“, warnt der Regierungsdienst. Er empfiehlt daher stärkere Authentifizierungsmethoden wie 2FA.
Nicht alle Formen von 2FA sind gleich. Im Merkblatt heißt es beispielsweise, dass die Zwei-Faktor-Authentifizierung per SMS oder E-Mail die am wenigsten sichere Form von 2FA sei. Ein Angreifer könnte die per E-Mail oder SMS versendeten Login-Codes abfangen. Der Einsatz biometrischer Daten als zweite Sicherheitsebene sei weniger anfällig für einen solchen Angriff, unterliegt jedoch Datenschutzgesetzen und -vorschriften wie der Allgemeinen Datenschutzverordnung (DSGVO), so das NCSC.
Die Regierung empfiehlt außerdem, zwischen verschiedenen Konten anhand des damit verbundenen Risikos zu unterscheiden. Konten mit hoher Auswirkung, etwa die von Administratoren, erfordern eine andere Sicherheit als beispielsweise Gastkonten. Organisationen können ihre Konten auf der Grundlage einer Risikobewertung in Konten mit geringer, mittlerer und hoher Auswirkung unterteilen. Mithilfe des Reifegradmodells zur Authentifizierung können die Konten dann entsprechend abgesichert werden.
Abschließend empfiehlt das Factsheet, für alle Clients eine maximale Anzahl erlaubter Anmeldeversuche pro Zeiteinheit festzulegen. Darüber hinaus sollten Mitarbeiter ihren Anmeldeverlauf einsehen können, um verdächtige Aktivitäten schneller erkennen und melden zu können.