Вход в систему с использованием имени пользователя и пароля является наиболее небезопасной формой аутентификации. Поэтому организациям, которые хотят лучше защитить свои учетные записи, рекомендуется выбирать более надежные методы аутентификации, такие как двухфакторная аутентификация (2FA) и стандарт FIDO2 от FIDO Alliance. Об этом говорится в новом информационном бюллетене Национального центра кибербезопасности (NCSC) под названием «Аутентификация взрослых».
По данным NCSC, учетные записи с повышенными привилегиями в системе, такие как учетные записи администратора, все чаще становятся объектом атак. «Учитывая такое развитие событий, особенно важно надлежащим образом защитить учетные записи. Оценка кибербезопасности Нидерландов 2021 подтверждает важность хорошей аутентификации и показывает, что уровень угрозы для слабой аутентификации высок», — предупреждает госслужба. Поэтому он рекомендует более надежные методы аутентификации, такие как 2FA.
Не все формы 2FA одинаковы. Например, в информационном бюллетене говорится, что двухфакторная аутентификация с использованием SMS или электронной почты является наименее безопасной формой 2FA. Злоумышленник может перехватить коды входа, отправленные по электронной почте или SMS. Использование биометрии в качестве второго уровня безопасности менее подвержено такой атаке, но регулируется законами и правилами о конфиденциальности, такими как Общий регламент по защите данных (GDPR), говорится в сообщении NCSC.
Правительство также советует проводить различие между разными счетами на основе связанного с ними риска. Учетные записи с высоким уровнем воздействия, такие как учетные записи администраторов, требуют другой безопасности, чем, например, гостевые учетные записи. Организации могут разделить свои учетные записи на учетные записи с низким, средним и высоким уровнем воздействия на основе оценки рисков. Затем учетные записи могут быть защищены соответствующим образом с использованием модели зрелости для аутентификации.
Наконец, информационный бюллетень рекомендует установить максимальное количество разрешенных попыток входа в единицу времени для всех клиентов. Кроме того, сотрудники должны иметь возможность просматривать свою историю входа в систему, чтобы быстрее обнаруживать подозрительную активность и сообщать о ней.