Fazer login com um nome de usuário e senha é a forma mais insegura de autenticação. As organizações que desejam proteger melhor suas contas são, portanto, aconselhadas a escolher métodos de autenticação mais fortes, como autenticação de dois fatores (2FA) e o padrão FIDO2 da FIDO Alliance. Isso é afirmado pelo Centro Nacional de Segurança Cibernética (NCSC) em uma nova ficha técnica chamada “Autenticação de adultos”.
De acordo com o NCSC, contas com privilégios elevados dentro de um sistema, como contas de administrador, são cada vez mais alvo de ataques. “Dado esse desenvolvimento, é extremamente importante proteger as contas de maneira apropriada. A Avaliação de Segurança Cibernética Holanda 2021 endossa a importância de uma boa autenticação e mostra que o nível de ameaça para autenticação fraca é alto”, alerta o serviço do governo. Ele, portanto, recomenda métodos de autenticação mais fortes, como 2FA.
Nem todas as formas de 2FA são criadas iguais. Por exemplo, a ficha informativa afirma que a autenticação de dois fatores usando um SMS ou e-mail é a forma menos segura de 2FA. Um invasor pode interceptar os códigos de login enviados por e-mail ou SMS. O uso da biometria como segunda camada de segurança é menos suscetível a esse ataque, mas está sujeito a leis e regulamentos de privacidade, como o Regulamento Geral de Proteção de Dados (GDPR), disse o NCSC.
O governo também aconselha a distinguir entre diferentes contas com base no risco associado. Contas de alto impacto, como as de administradores, exigem segurança diferente de, por exemplo, contas de convidados. As organizações podem dividir suas contas em contas de baixo, médio e alto impacto com base em uma avaliação de risco. As contas podem então ser protegidas de maneira apropriada usando o modelo de maturidade para autenticação.
Por fim, a ficha informativa recomenda definir um número máximo de tentativas de login permitidas por unidade de tempo para todos os clientes. Além disso, os funcionários devem poder visualizar seu histórico de login, para que possam identificar e relatar atividades suspeitas mais rapidamente.