Masuk dengan nama pengguna dan kata sandi adalah bentuk otentikasi yang paling tidak aman. Oleh karena itu, organisasi yang ingin melindungi akun mereka dengan lebih baik disarankan untuk memilih metode autentikasi yang lebih kuat, seperti autentikasi dua faktor (2FA) dan standar FIDO2 dari FIDO Alliance. Hal ini dinyatakan oleh National Cyber Security Center (NCSC) dalam lembar fakta baru yang disebut “Otentikasi orang dewasa”.
Menurut NCSC, akun dengan hak istimewa yang lebih tinggi dalam suatu sistem, seperti akun administrator, semakin menjadi target serangan. “Mengingat perkembangan ini, sangat penting untuk melindungi akun dengan cara yang tepat. Cyber Security Assessment Netherlands 2021 mendukung pentingnya otentikasi yang baik dan menunjukkan bahwa tingkat ancaman untuk otentikasi yang lemah adalah tinggi,” layanan pemerintah memperingatkan. Oleh karena itu, dia merekomendasikan metode otentikasi yang lebih kuat seperti 2FA.
Tidak semua bentuk 2FA diciptakan sama. Misalnya, lembar fakta menyatakan bahwa otentikasi dua faktor menggunakan SMS atau email adalah bentuk 2FA yang paling tidak aman. Penyerang dapat mencegat kode login yang dikirim melalui email atau SMS. Menggunakan biometrik sebagai lapisan keamanan kedua kurang rentan terhadap serangan semacam itu, tetapi tunduk pada undang-undang dan peraturan privasi seperti Peraturan Perlindungan Data Umum (GDPR), kata NCSC.
Pemerintah juga menyarankan untuk membedakan antara akun yang berbeda berdasarkan risiko yang terkait. Akun berdampak tinggi, seperti akun administrator, memerlukan keamanan yang berbeda dari, misalnya, akun tamu. Organisasi dapat membagi akun mereka menjadi akun berdampak rendah, sedang, dan tinggi berdasarkan penilaian risiko. Akun kemudian dapat diamankan dengan cara yang tepat menggunakan model jatuh tempo untuk otentikasi.
Terakhir, lembar fakta merekomendasikan pengaturan jumlah maksimum upaya login yang diizinkan per unit waktu untuk semua klien. Selain itu, karyawan harus dapat melihat riwayat login mereka, sehingga mereka dapat menemukan dan melaporkan aktivitas mencurigakan dengan lebih cepat.