Log masuk dengan nama pengguna dan kata laluan adalah bentuk pengesahan yang paling tidak selamat. Oleh itu, organisasi yang ingin melindungi akaun mereka dengan lebih baik dinasihatkan untuk memilih kaedah pengesahan yang lebih kukuh, seperti pengesahan dua faktor (2FA) dan piawaian FIDO2 daripada Perikatan FIDO. Ini dinyatakan oleh Pusat Keselamatan Siber Nasional (NCSC) dalam helaian fakta baharu yang dipanggil "Mengesah orang dewasa".
Menurut NCSC, akaun dengan keistimewaan yang tinggi dalam sistem, seperti akaun pentadbir, semakin menjadi sasaran serangan. “Memandangkan perkembangan ini, adalah lebih penting untuk melindungi akaun dengan cara yang sesuai. Cyber Security Assessment Netherlands 2021 menyokong kepentingan pengesahan yang baik dan menunjukkan bahawa tahap ancaman untuk pengesahan yang lemah adalah tinggi,” perkhidmatan kerajaan memberi amaran. Oleh itu, beliau mengesyorkan kaedah pengesahan yang lebih kukuh seperti 2FA.
Tidak semua bentuk 2FA dicipta sama. Sebagai contoh, helaian fakta menyatakan bahawa pengesahan dua faktor menggunakan SMS atau e-mel adalah bentuk 2FA yang paling tidak selamat. Penyerang boleh memintas kod log masuk yang dihantar melalui e-mel atau SMS. Menggunakan biometrik sebagai lapisan kedua keselamatan kurang terdedah kepada serangan sedemikian, tetapi tertakluk kepada undang-undang dan peraturan privasi seperti Peraturan Perlindungan Data Am (GDPR), kata NCSC.
Kerajaan juga menasihatkan untuk membezakan antara akaun yang berbeza berdasarkan risiko yang berkaitan. Akaun berimpak tinggi, seperti akaun pentadbir, memerlukan keselamatan yang berbeza daripada, sebagai contoh, akaun tetamu. Organisasi boleh membahagikan akaun mereka kepada akaun berimpak rendah, sederhana dan tinggi berdasarkan penilaian risiko. Akaun kemudiannya boleh dicagarkan dengan cara yang sesuai menggunakan model kematangan untuk pengesahan.
Akhir sekali, lembaran fakta mengesyorkan menetapkan bilangan maksimum percubaan log masuk yang dibenarkan setiap unit masa untuk semua pelanggan. Selain itu, pekerja harus dapat melihat sejarah log masuk mereka, supaya mereka dapat melihat dan melaporkan aktiviti yang mencurigakan dengan lebih cepat.