8月30日、米国のサイバーセキュリティ庁（CISA）は、重要インフラや政府機関、民間企業を壊滅的なサイバー攻撃にさらす可能性のある「非常に危険な」サイバーセキュリティ手法のリストに、一要素認証を追加した。

CISA Adds Single-Factor Authentication to list of Bad Practices

今回より、バッドプラクティクスのリストには以下が含まれるようになった。

• サポートされていない（または製造中止の）ソフトウェアを使用
• 既知の/固定の/デフォルトのパスワードや認証情報を使用
• システムへのリモートアクセスや管理者アクセスに一要素認証を使用

CISAは、「これらのバッドプラクティスは、すべての組織が回避すべきものですが、重要インフラや国家基幹機能(NFC)をサポートする組織では特に危険です」と述べている。

さらに、CISAは以下のような他のプラクティスを追加することを検討している。

• 脆弱な暗号関数や鍵のサイズを使用
• フラットなネットワークトポロジー
• ITとOTのネットワークの混在
• 全員が管理者（最小権限の欠如）
• 過去に侵害されたシステムをサニタイズせずに利用
• 管理されていないネットワーク上での、機密性が高く、暗号化/認証されていないトラフィックの送信
• 物理的コントロールの不備

バッドプラクティスのリストは焦点を絞ったものである。
リストに含まれていないサイバーセキュリティ行為について、CISAが支持したり、許容レベルのリスクであると判断したわけではないとしている。