כניסה עם שם משתמש וסיסמה היא צורת האימות הכי לא בטוחה. לכן מומלץ לארגונים שרוצים להגן טוב יותר על חשבונותיהם לבחור בשיטות אימות חזקות יותר, כמו אימות דו-גורמי (2FA) ותקן FIDO2 מבית FIDO Alliance. כך קובע המרכז הלאומי לאבטחת סייבר (NCSC) בגיליון מידע חדש בשם "אימות מבוגרים".
לפי ה-NCSC, חשבונות עם הרשאות מוגברות בתוך מערכת, כמו חשבונות מנהל מערכת, הם יותר ויותר יעד להתקפות. "בהתחשב בהתפתחות הזו, חשוב במיוחד להגן על חשבונות בצורה הולמת. הערכת אבטחת הסייבר הולנד 2021 מאשרת את החשיבות של אימות טוב ומראה כי רמת האיום עבור אימות חלש היא גבוהה", מזהיר השירות הממשלתי. לכן הוא ממליץ על שיטות אימות חזקות יותר כמו 2FA.
לא כל הצורות של 2FA נוצרות שוות. לדוגמה, גיליון המידע קובע כי אימות דו-שלבי באמצעות SMS או דואר אלקטרוני הוא הצורה הכי פחות מאובטחת של 2FA. תוקף יכול ליירט את קודי הכניסה שנשלחו בדואר אלקטרוני או ב-SMS. השימוש בביומטריה כשכבה שנייה של אבטחה פחות רגיש למתקפה כזו, אך כפוף לחוקי הפרטיות ולתקנות כמו תקנת הגנת המידע הכללית (GDPR), אמר ה-NCSC.
הממשלה גם ממליצה להבחין בין חשבונות שונים על בסיס הסיכון הנלווה. חשבונות בעלי השפעה רבה, כמו אלה של מנהלי מערכת, דורשים אבטחה שונה מאשר, למשל, חשבונות אורח. ארגונים יכולים לחלק את חשבונותיהם לחשבונות בעלי השפעה נמוכה, בינונית וגבוהה על סמך הערכת סיכונים. לאחר מכן ניתן לאבטח את החשבונות בצורה מתאימה באמצעות מודל הבשלות לאימות.
לבסוף, הגליון ממליץ להגדיר מספר מקסימלי של ניסיונות כניסה מותרים ליחידת זמן עבור כל הלקוחות. בנוסף, עובדים צריכים להיות מסוגלים לראות את היסטוריית ההתחברות שלהם, כדי שיוכלו לזהות ולדווח על פעילות חשודה מהר יותר.