La connexion avec un nom d'utilisateur et un mot de passe est la forme d'authentification la moins sécurisée. Il est donc conseillé aux organisations qui souhaitent mieux protéger leurs comptes de choisir des méthodes d'authentification plus fortes, telles que l'authentification à deux facteurs (2FA) et la norme FIDO2 de la FIDO Alliance. C’est ce qu’affirme le Centre national de cybersécurité (NCSC) dans une nouvelle fiche d’information intitulée « Authentification des adultes ».
Selon le NCSC, les comptes dotés de privilèges élevés au sein d'un système, tels que les comptes d'administrateur, sont de plus en plus la cible d'attaques. « Compte tenu de cette évolution, il est extrêmement important de protéger les comptes de manière appropriée. La Cyber Security Assessment Nederland 2021 reconnaît l’importance d’une bonne authentification et montre que le niveau de menace d’une authentification faible est élevé », prévient le service gouvernemental. Il recommande donc des méthodes d’authentification plus fortes comme la 2FA.
Toutes les formes de 2FA ne sont pas égales. Par exemple, la fiche d’information indique que l’authentification à deux facteurs utilisant un SMS ou un e-mail est la forme la moins sécurisée de 2FA. Un attaquant pourrait intercepter les codes de connexion envoyés par e-mail ou SMS. L'utilisation de la biométrie comme deuxième niveau de sécurité est moins sensible à une telle attaque, mais est soumise aux lois et réglementations sur la confidentialité telles que le Règlement général sur la protection des données (RGPD), a indiqué le NCSC.
Le gouvernement conseille également de distinguer les différents comptes en fonction du risque associé. Les comptes à fort impact, tels que ceux des administrateurs, nécessitent une sécurité différente de celle, par exemple, des comptes invités. Les organisations peuvent diviser leurs comptes en comptes à impact faible, moyen et élevé sur la base d'une évaluation des risques. Les comptes peuvent ensuite être sécurisés de manière appropriée en utilisant le modèle de maturité pour l'authentification.
Enfin, la fiche d'information recommande de définir un nombre maximum de tentatives de connexion autorisées par unité de temps pour tous les clients. De plus, les employés devraient pouvoir consulter leur historique de connexion, afin de pouvoir détecter et signaler plus rapidement les activités suspectes.