使用使用者名稱和密碼登入是最不安全的身份驗證形式。 因此,建議希望更好地保護其帳戶的組織選擇更強的身份驗證方法,例如雙重認證 (2FA) 和 FIDO 聯盟的 FIDO2 標準。 國家網路安全中心(NCSC)在一份名為「驗證成年人身分」的新情況說明書中闡述了這一點。
根據 NCSC 的說法,系統內具有較高權限的帳戶(例如管理員帳戶)越來越成為攻擊的目標。 「鑑於這一發展,以適當的方式保護帳戶顯得尤為重要。 荷蘭 2021 年網路安全評估認可了良好身份驗證的重要性,並表明弱身份驗證的威脅等級很高,」政府部門警告。 因此,他建議採用更強大的身份驗證方法,例如 2FA。
並非所有形式的 2FA 都是一樣的。 例如,情況說明書指出,使用簡訊或電子郵件的雙重認證是 2FA 中最不安全的形式。 攻擊者可以攔截透過電子郵件或簡訊發送的登入代碼。 NCSC 表示,使用生物辨識技術作為第二層安全措施不易受到此類攻擊,但須遵守《一般資料保護規範》(GDPR) 等隱私權法律和法規。
政府也建議根據相關風險區分不同帳戶。 高影響力的帳戶(例如管理員帳戶)需要與訪客帳戶等不同的安全性。 組織可以根據風險評估將其帳戶分為低、中和高影響帳戶。 然後可以使用成熟度模型進行身份驗證以適當的方式保護帳戶。
最後,情況說明書建議為所有用戶端設定每單位時間允許的最大登入嘗試次數。 此外,員工應該能夠查看他們的登入記錄,以便他們可以更快地發現和報告可疑活動。