Mimo że większość aplikacji i stron internetowych ma zaimplementowane bezpieczne logowanie, należy wybrać odpowiednią technikę uwierzytelniania, aby uzasadnić deklarowaną tożsamość użytkownika. Tam, gdzie wymagane jest silne uwierzytelnienie i weryfikacja tożsamości, należy stosować alternatywne wobec haseł metody uwierzytelniania, takie jak środki kryptograficzne, karty inteligentne, tokeny lub środki biometryczne. Procedura logowania do systemu lub aplikacji powinna być zaprojektowana tak, aby zminimalizować możliwość nieautoryzowanego dostępu. Procedura powinna zatem ujawniać minimum informacji o systemie lub aplikacji, aby uniknąć udzielania niepotrzebnej pomocy nieuprawnionemu użytkownikowi. To właśnie ta procedura powinna zostać szeroko opisana w polityce bezpieczeństwa organizacji. Dobra procedura bezpiecznego logowania, właściwie sformułowana w polityce bezpieczeństwa powinna:
– Nie wyświetlać identyfikatorów systemu lub aplikacji, dopóki proces logowania nie zostanie pomyślnie zakończony.
– Wyświetlać ogólne ostrzeżenie, że dostęp do komputera powinni mieć tylko upoważnieni użytkownicy.
– Nie wyświetlać komunikatów pomocy podczas procedury logowania, które byłyby pomocne dla nieautoryzowanego użytkownika.
– Weryfikować informacje dotyczące logowania dopiero po uzupełnieniu wszystkich danych wejściowych. w przypadku wystąpienia błędu system nie powinien wskazywać, która część danych jest poprawna lub nieprawidłowa.
– Chronić przed próbami logowania metodą brute force (technika łamania haseł lub kluczy kryptograficznych polegająca na sprawdzeniu wszystkich możliwych kombinacji).
– Rejestrować nieudane i udane próby logowania.
– Zgłaszać zdarzenie związane z bezpieczeństwem w przypadku potencjalnej próby lub udanego naruszenia.
– Wyświetlać następujące informacje o zakończeniu udanego logowania.
– Nie wyświetlać wprowadzanego hasła.
– Nie przesyłać haseł w postaci zwykłego tekstu przez sieć.
– Zakończyć nieaktywne sesje po określonym czasie braku aktywności, zwłaszcza w miejscach o wysokim ryzyku, takich jak obszary publiczne lub zewnętrzne poza systemem zarządzania bezpieczeństwem jednostki lub na urządzeniach mobilnych urządzenia.
– Ograniczać czas połączenia, aby zapewnić dodatkowe bezpieczeństwo aplikacjom o wysokim ryzyku i zmniejszyć możliwość nieautoryzowanego dostępu.
Hasła są kluczem do prawie wszystkiego, co robi organizacja i prawdopodobnie istnieje ich co najmniej kilka, których używa się w ciągu dnia pracy w organizacji. Wybieranie trudnych do złamania haseł i bezpieczne zarządzanie nimi może czasem wydawać się niewygodne. Na szczęście istnieją proste sposoby na maksymalne zabezpieczenie haseł. Może to uniemożliwić hakerom wrogie działania. Uwierzytelnianie to proces weryfikacji tożsamości użytkownika. Ma tylko dwie wartości zwracane, tj. prawda lub fałsz. Większość uwierzytelnień zostanie umieszczona na początku systemu, ponieważ walidacja jest najważniejsza dla każdego systemu. System pozwala wejść, jeśli użytkownik zostanie uwierzytelniony. Uwierzytelnianie może się różnić w zależności od systemu, ale każde potrzebuje podjęcia odpowiednich kroków, aby odbyło się to bezpiecznie. Uwierzytelnianie składa się z dwóch głównych etapów: pierwszy to identyfikacja, a drugi to uwierzytelnianie centralne. W pierwszym kroku rzeczywista tożsamość użytkownika jest podawana w identyfikatorze użytkownika i walidacji. Jednak to, że pierwszy krok zakończył się sukcesem, nie oznacza, że użytkownik został uwierzytelniony. W drugim kroku użytkownik przekazuje swoje rzeczywiste poświadczenia, które znał tylko uwierzytelniony użytkownik (np.hasło).
Uwierzytelnianie wieloskładnikowe wykorzystuje co najmniej dwa sposoby identyfikacji użytkownika. Dodaje kolejną warstwę bezpieczeństwa poza uwierzytelnianiem hasła. Jeśli haker nie może przejść nawet jednego poziomu, system go wyrzuca. Jeśli jakikolwiek system ma co najmniej dwa czynniki, jest bezpieczniejszy, ponieważ hakerzy potrzebują znacznie więcej szczegółów, aby włamać się do systemu lub profilu użytkownika. Uwierzytelnianie biometryczne jest najbezpieczniejszym uwierzytelnianiem, ponieważ wykorzystuje unikalne cechy biologiczne użytkownika. System używa tego procesu uwierzytelniania, jeśli potrzebuje większego bezpieczeństwa. Jest szeroko stosowany w firmach nuklearnych, lotniskach, bazach wojskowych itp. Uwierzytelnianie biometryczne jest najbezpieczniejszym uwierzytelnianiem, ponieważ wykorzystuje unikalne cechy biologiczne użytkownika. System używa tego procesu uwierzytelniania, jeśli potrzebuje większego bezpieczeństwa. Jest szeroko stosowany w firmach nuklearnych, na lotniskach, w bazach wojskowych itp. W przypadku uwierzytelniania opartego na certyfikacie, system wygeneruje certyfikat cyfrowy w celu weryfikacji użytkownika. Można go wygenerować na podstawie unikalnego identyfikatora użytkownika, takiego jak identyfikator wyborcy, paszport lub inny. Zawiera klucz publiczny i podpis cyfrowy użytkownika, przy czym ten system zidentyfikuje właściwego użytkownika. System pobiera cyfrowy znak od użytkownika i wykorzystuje kryptografię, aby upewnić się, że jest to prawidłowy użytkownik.