NCSC: inloggen met wachtwoord is de meest onveilige vorm van authenticatie

Inloggen met een gebruikersnaam en wachtwoord is de meest onveilige vorm van authenticatie. Organisaties die hun accounts beter willen beveiligen, wordt daarom geadviseerd om te kiezen voor sterkere authenticatiemethoden, zoals two-factor authenticatie (2FA) en de FIDO2-standaard van de FIDO Alliance. Dat stelt het Nationaal Cyber ​​Security Centrum (NCSC) in een nieuwe factsheet genaamd ‘Authenticating adults’.

Volgens het NCSC zijn accounts met verhoogde bevoegdheden binnen een systeem, zoals beheerdersaccounts, steeds vaker het doelwit van aanvallen. “Gezien deze ontwikkeling is het extra belangrijk om accounts op een passende manier te beveiligen. Het Cybersecuritybeeld Nederland 2021 onderschrijft het belang van goede authenticatie en laat zien dat het dreigingsniveau voor zwakke authenticatie hoog is”, waarschuwt de Rijksdienst. Hij raadt daarom sterkere authenticatiemethoden aan, zoals 2FA.

Niet alle vormen van 2FA zijn gelijk gemaakt. Zo staat in de factsheet dat tweefactorauthenticatie via sms of e-mail de minst veilige vorm van 2FA is. Een aanvaller kan de inlogcodes die per e-mail of sms worden verzonden, onderscheppen. Het gebruik van biometrie als tweede beveiligingslaag is minder vatbaar voor een dergelijke aanval, maar is onderhevig aan privacywet- en regelgeving zoals de Algemene Verordening Gegevensbescherming (AVG), aldus het NCSC.

Ook adviseert de overheid om onderscheid te maken tussen verschillende rekeningen op basis van het bijbehorende risico. High-impact accounts, zoals die van beheerders, vereisen een andere beveiliging dan bijvoorbeeld gastaccounts. Organisaties kunnen hun accounts op basis van een risicobeoordeling onderverdelen in low, medium en high impact accounts. De rekeningen kunnen vervolgens op een passende manier worden beveiligd met behulp van het volwassenheidsmodel voor authenticatie.

Ten slotte raadt de factsheet aan om voor alle klanten een maximum aantal toegestane inlogpogingen per tijdseenheid in te stellen. Daarnaast moeten medewerkers hun inloggeschiedenis kunnen inzien, zodat ze verdachte activiteiten sneller kunnen opsporen en melden.