Ambtenaren van de federale Amerikaanse overheid zijn wettelijk verplicht om via een "Personal Identity Verification" (PIV) pas op officiële informatiesystemen in te loggen. Door de coronacrisis hebben ambtenaren niet altijd toegang tot overheidssystemen of -apparatuur en kunnen dan ook niet via deze PIV-pas inloggen.

Voor deze gevallen moet er een andere vorm van authenticatie worden gekozen. Aanleiding voor de NSA om een advies te publiceren over het kiezen van multifactorauthenticatie. Daarnaast bevat het document "Selecting Secure Multi-factor Authentication Solutions" ook een assessment van verschillende aanbieders (pdf).

Het document geeft vijf criteria waarmee overheidsinstanties een "beter geïnformeerde keuze" kunnen maken bij het kiezen van een multifactorauthenticatie-oplossing. Daarnaast worden er richtlijnen aangereikt waarmee gebruikers ervoor kunnen zorgen dat ze een lastiger doelwit voor aanvallers worden.

Bij multifactorauthenticatie loggen gebruikers naast een wachtwoord in met een token of extra code. Deze code kan door een authenticator worden gegenereerd. Bij het kiezen van een authenticatie-oplossing is het belangrijk dat organisaties met vijf criteria rekening houden, zoals de beveiliging van de authenticator, de controle door de validator, gebruikte cryptografische standaarden, ondersteuning door de leverancier en de integratie van de authenticatie-oplossing.

De NSA benadrukt dat medewerkers die thuiswerken wanneer mogelijk een door hun werkgever verstrekte computer moeten gebruiken. "Geen enkel authenticatiemechanisme biedt bescherming tegen een gecompromitteerd systeem", aldus de geheime dienst. Privécomputers zijn volgens de NSA vaak kwetsbaar voor aanvallen, onder andere vanwege het niet tijdig installeren van updates of het installeren van malware door de gebruiker.

Wanneer er bijvoorbeeld geen zakelijke laptop beschikbaar is raadt de NSA gebruikers aan om op het eigen privésysteem geen beheerdersaccount te gebruiken en wanneer mogelijk een apart account met verminderde rechten aan te maken die alleen voor werk wordt gebruikt. Na dit advies volgt een assessment van verschillende authenticatie-aanbieders, zoals Duo, Google, Microsoft en OKTA.