Iniciar sesión con un nombre de usuario y una contraseña es la forma de autenticación más insegura. Por lo tanto, se recomienda a las organizaciones que deseen proteger mejor sus cuentas que elijan métodos de autenticación más sólidos, como la autenticación de dos factores (2FA) y el estándar FIDO2 de FIDO Alliance. Así lo afirma el Centro Nacional de Seguridad Cibernética (NCSC) en una nueva hoja informativa llamada “Autenticación de adultos”.
Según el NCSC, las cuentas con privilegios elevados dentro de un sistema, como las cuentas de administrador, son cada vez más el objetivo de los ataques. “Dado este desarrollo, es muy importante proteger las cuentas de manera adecuada. La Evaluación de seguridad cibernética de los Países Bajos 2021 respalda la importancia de una buena autenticación y muestra que el nivel de amenaza para la autenticación débil es alto”, advierte el servicio gubernamental. Por lo tanto, recomienda métodos de autenticación más fuertes como 2FA.
No todas las formas de 2FA son iguales. Por ejemplo, la hoja informativa establece que la autenticación de dos factores mediante un SMS o correo electrónico es la forma menos segura de 2FA. Un atacante podría interceptar los códigos de inicio de sesión enviados por correo electrónico o SMS. El uso de la biometría como una segunda capa de seguridad es menos susceptible a un ataque de este tipo, pero está sujeto a las leyes y regulaciones de privacidad, como el Reglamento General de Protección de Datos (GDPR), dijo el NCSC.
El gobierno también aconseja distinguir entre diferentes cuentas sobre la base del riesgo asociado. Las cuentas de alto impacto, como las de los administradores, requieren una seguridad diferente que, por ejemplo, las cuentas de invitados. Las organizaciones pueden dividir sus cuentas en cuentas de impacto bajo, medio y alto en función de una evaluación de riesgos. Luego, las cuentas se pueden proteger de manera adecuada utilizando el modelo de madurez para la autenticación.
Finalmente, la ficha técnica recomienda establecer un número máximo de intentos de inicio de sesión permitidos por unidad de tiempo para todos los clientes. Además, los empleados deberían poder ver su historial de inicio de sesión, para que puedan detectar y reportar actividades sospechosas más rápidamente.