使用用户名和密码登录是最不安全的身份验证形式。 因此,建议希望更好地保护其帐户的组织选择更强大的身份验证方法,例如双重身份验证 (2FA) 和 FIDO 联盟的 FIDO2 标准。 国家网络安全中心 (NCSC) 在一份名为“认证成年人”的新情况说明书中说明了这一点。
根据 NCSC 的说法,在系统中具有提升权限的帐户(例如管理员帐户)越来越成为攻击的目标。 “鉴于这一发展,以适当的方式保护账户尤为重要。 荷兰 2021 年网络安全评估认可良好身份验证的重要性,并表明弱身份验证的威胁级别很高,”政府部门警告说。 因此,他建议使用更强大的身份验证方法,例如 2FA。
并非所有形式的 2FA 都是平等的。 例如,情况说明书指出,使用 SMS 或电子邮件的双因素身份验证是 2FA 最不安全的形式。 攻击者可以截获通过电子邮件或短信发送的登录代码。 NCSC 表示,使用生物识别技术作为第二层安全性不太容易受到此类攻击,但受隐私法律和法规的约束,例如通用数据保护条例 (GDPR)。
政府还建议根据相关风险区分不同账户。 高影响力帐户(例如管理员帐户)需要与来宾帐户不同的安全性。 组织可以根据风险评估将其账户划分为低、中和高影响账户。 然后可以使用成熟度模型以适当的方式保护帐户以进行身份验证。
最后,情况说明书建议为所有客户端设置每单位时间允许的最大登录尝试次数。 此外,员工应该能够查看他们的登录历史记录,以便他们能够更快地发现和报告可疑活动。