如何激励而不仅仅是强制实施 MFA 媒体

多重身份验证MFA的实施现状

关键要点

尽管多重身份验证MFA在防止多种网络攻击方面取得了显著成效，例如一项研究显示，MFA能够阻止100的自动化攻击、96的批量网络钓鱼攻击和76的针对性攻击，但MFA的普及率仍然很低。网络攻击的频率和复杂性正在快速增加，为何没有每个组织都已经采用这一经验证的防御层呢？

SC Media Perspectives专栏由SC Media网络安全领域的专业人士撰写。 在这里阅读更多观点。

为什么许多企业对MFA持谨慎态度？

大多数企业将MFA视为一种权衡：使用MFA来增强用户安全，必然会给用户体验UX带来摩擦，从而可能对业务造成负面影响。它们担心可能会降低转化率、增加登录失败率甚至失去客户。

然而，缺乏MFA最终将使组织付出更高昂的代价。对于面临是否投资MFA或在现有策略中增加额外MFA方法的公司来说，答案几乎总是一个响亮的“是”。

接下来，我们将探讨组织如何实施和激励MFA，以及在何种情况下采取每种方法。

什么时候强制实施MFA？

建设和部署MFA并不是免费的。如果组织决定投资MFA，就需确保有足够的用户能够从中受益。在企业对企业B2B的环境中，强制实施MFA是最常见的做法。像谷歌和亚马逊云服务等大型科技公司正朝这个方向迈进。

在B2B或企业环境中，强制实施MFA通常不会妨碍销售或转化率，而且用户也会因此获得更好的安全保障，这对于双方都是双赢。例如，微软的GitHub对所有用户都强制执行MFA，并限制未认证请求每小时60个，而认证用户则可达到每小时5000个甚至15000个请求的限制。

在消费者对企业B2C的环境中，是否强制执行MFA的问题就不是那么简单，激励措施可能是更好的选择。如果组织选择强制实施MFA，可以通过多种方式进行。例如，要求所有新客户在首次使用时就开启MFA，或者设定规则一旦启用MFA便无法关闭。

例如，苹果要求其用户在使用某些服务和功能如Apple Pay和使用Apple登录之前必须启用MFA。此外，苹果还警告称，如果用户已经使用MFA，便不能关闭该功能。亚马逊的Ring也强制要求用户在首次登录查看安全视频或访问Neighbors应用时，必须通过多重身份验证进行认证。

对于这些公司而言，市场的普及和饱和意味着它们不必过于担心客户群的增长，因此在执行MFA方面可以采取更灵活的态度。但并非所有公司都拥有这种特权，即便拥有，它们也可能不希望在MFA的宣传上采取全有或全无的态度。

激励MFA的“胡萝卜加大棒”方法

而不是全面强制实施MFA，公司可以选择激励MFA，以便让用户自愿选择参与。要使这种方法取得成功，组织需要专注于消除MFA带来的摩擦，并向用户提供明确的好处以促进采用。

例如，Epic Games[提供](https//wwwepicgamescom/help/en