Tärkeää tietoa sisältäviin järjestelmiin olisi kirjauduttava useita tunnistamiskeinoja käyttävällä kirjautumisella, jota kutsutaan englanniksi joko "two-factor", “multi-factor” tai “dual factor” tunnistautumiseksi.

Esimerkiksi kirjautuessaan ensin salasanalla, käyttäjälle voidaan lähettää lisäksi kertakäyttöinen tunnistautumiskoodi tekstiviestinä. Tällöin hänet on tunnistettu kahden tekijän avulla (salasanan tietäminen ja puhelimen omistajuus).

Kaksivaiheisessa tunnistautumisessa voidaan käyttää apuna myös biometrisiä tunnisteita (esim. sormenjälki) ja muita laitteita. Kannattaa kuitenkin huomioida kustannukset ja vaikutukset yksityisyydensuojalle.

Organisaatio on ennalta määritellyt tunnistautumistavat, joita työntekijöiden tulisi suosia tietojärjestelmiä käytettäessä.

Useita pilvipalveluita käyttäessään käyttäjä voi itse määritellä, millä tavalla hän palveluun tunnistautuu. Yksittäinen keskitetty tunnistautumistili (esim. Google- tai Office365-tili) voi auttaa sulkemaan iso määrä pääsyoikeuksia kerralla, kun tunnistautumistapana toimiva käyttäjätili suljetaan.

Different actors in information processing environments must be securely identified before being granted access to the information.

Device identification: Only terminal devices provided and managed by the organization, and approved for the relevant classification level, may be used to process classified information. The connection of any other devices to the classified information processing environment is strictly prohibited. Personnel are instructed and required to comply with this rule.

System identification: Information systems that exchange data with each other must be identified using a technique appropriate for the use case, such as passwords, keys (e. g. API key), tokens (e. g. oAuth), or equivalent methods. Authentication must take place over encrypted connections.

The identification of actors in information processing environments requires the following additional measures:

• strong user authentication based on at least two factors is in place
• terminal devices are technically identified (device authentication, 802.1X, or an equivalent procedure) before being granted access to the network or service, unless physical security measures restrict network connectivity to a narrow scope (e. g. a server placed in a locked equipment cabinet within a security area).

In certain situations, electronic identification methods may be replaced by physical security measures (e. g. access to the system allowed only from a strictly limited and physically protected area, such as a locked equipment cabinet monitored with strong authentication). When relying on physical security measures, the requirements for traceability must also be met, particularly regarding the retention periods for log data and similar records. In such cases, actual system login may consist of, for example, a user ID and password pair.

Jaetut käyttäjätunnukset olisi sallittava vain, jos ne ovat tarpeellisia liiketoiminnallisista tai toiminnallisista syistä, ja ne olisi hyväksytettävä ja dokumentoitava.

Mikäli jaettuja käyttäjätunnuksia käytetään ylläpitokäyttöön, salasanat on vaihdettava mahdollisimman pian sen jälkeen, kun ylläpitooikeuksin varustettu käyttäjä jättää työnsä.