L'accesso con nome utente e password è la forma di autenticazione più insicura. Si consiglia quindi alle organizzazioni che desiderano proteggere meglio i propri account di scegliere metodi di autenticazione più efficaci, come l'autenticazione a due fattori (2FA) e lo standard FIDO2 di FIDO Alliance. Lo afferma il National Cyber Security Center (NCSC) in una nuova scheda informativa chiamata "Autenticazione degli adulti".
Secondo l'NCSC, gli account con privilegi elevati all'interno di un sistema, come gli account amministratore, sono sempre più oggetto di attacchi. “Dato questo sviluppo, è estremamente importante proteggere gli account in modo appropriato. La valutazione della sicurezza informatica Paesi Bassi 2021 sostiene l'importanza di una buona autenticazione e mostra che il livello di minaccia per l'autenticazione debole è elevato", avverte il servizio governativo. Pertanto raccomanda metodi di autenticazione più efficaci come 2FA.
Non tutte le forme di 2FA sono uguali. Ad esempio, la scheda informativa afferma che l'autenticazione a due fattori tramite SMS o e-mail è la forma meno sicura di 2FA. Un utente malintenzionato potrebbe intercettare i codici di accesso inviati tramite e-mail o SMS. L'uso della biometria come secondo livello di sicurezza è meno suscettibile a un tale attacco, ma è soggetto a leggi e regolamenti sulla privacy come il Regolamento generale sulla protezione dei dati (GDPR), ha affermato l'NCSC.
Il governo consiglia inoltre di distinguere tra diversi conti sulla base del rischio associato. Gli account ad alto impatto, come quelli degli amministratori, richiedono una sicurezza diversa rispetto, ad esempio, agli account guest. Le organizzazioni possono dividere i propri account in account a basso, medio e alto impatto sulla base di una valutazione del rischio. Gli account possono quindi essere protetti in modo appropriato utilizzando il modello di maturità per l'autenticazione.
Infine, la scheda informativa consiglia di impostare un numero massimo di tentativi di accesso consentiti per unità di tempo per tutti i client. Inoltre, i dipendenti dovrebbero essere in grado di visualizzare la cronologia degli accessi, in modo da poter individuare e segnalare attività sospette più rapidamente.