Η αποτελεσματική διαχείριση ταυτοποίησης και πρόσβασης που είναι γνωστή ως Identity Access Management (IAM) απαιτεί πάντα επικαιροποιήση στη στρατηγική και στη γνώση των πολιτικών και εργαλείων, που επιτελούν τη συγκεκριμένη διαδικασία, προκειμένου να επιτευχθεί το βέλτιστο αποτέλεσμα για την ασφάλεια.
Του Δημήτρη Θωμαδάκη
Η διαχείριση ταυτοποίησης και πρόσβασης (Ιdentity and Αccess Μanagement – IAM) αποτελούσε πάντα ένα κρίσιμο θέμα στη δημιουργία της εταιρικής στρατηγικής ασφαλείας. Η σημερινή πολιτική σχετικά με τα εργαλεία IAM, αντιμετωπίζει διαφορετικές και μεγάλες προκλήσεις παγκοσμίως που επηρεάζουν γενικότερα το οικοσύστημα των υποδομών πληροφορικής. Μία από τις νεότερες προκλήσεις είναι και η διείσδυση των υπηρεσιών cloud και συγκεκριμένα όσον αφορά τον τομέα που αναφερόμαστε των νέων υπηρεσιών “Identity as a Service” (IDaaS). H νέα αυτή προσέγγιση σε συνδυασμό με τις αντίστοιχες λύσεις, που διατίθενται από τους Vendors, αρχίζουν να έχουν σημαντικό αντίκτυπο στην αγορά. Βασική προϋπόθεση για την αποτελεσματική αξιοποίηση αυτών των λύσεων, είναι ένας ενημερωμένος οδικός χάρτης για IAM, που θα βοηθήσει στον ορισμό της καλύτερης πολιτικής και στη λήψη των καλύτερων εργαλείων. Ένας αποτελεσματικός οδικός χάρτης IAM πρέπει να παρουσιάζει μία ξεκάθαρη εικόνα των πιθανών απειλών προς την επιχείρηση και να βασίζεται σε αξιολογήσεις και προβλέψεις της ομάδας ασφάλειας πληροφοριών. Αυτό απαιτεί σίγουρα την κατανόηση των μεγάλων αλλαγών στο τομέα του IT, από το shadow IT και τη φορητότητά, μέχρι το Internet of Things και τις άλλες σύγχρονες τάσεις.
Στρατηγική ΙΑΜ: ώρα για εκσυγχρονισμό;
Η στρατηγική διαχείρισης ταυτοποίησης και πρόσβασης στην εκάστοτε εταιρείας, χρειάζεται συχνά αναβάθμιση και επικαιροποιήση. Η πληροφορική εξελίσσεται συνεχώς και η ταχύτητα της αλλαγής όσον αφορά τον τρόπο που οι εταιρείες κάθε μεγέθους λειτουργούν και αλληλεπιδρούν, δεν ήταν ποτέ τόσο μεγάλη. Έχει έρθει λοιπόν η ώρα να εκτιμήσετε και να εκσυγχρονίσετε τη στρατηγική IAM που χρησιμοποιείται στην εταιρία σας. Ο αριθμός των διαφοροποιημένων και γεωγραφικά διασκορπισμένων χρηστών και συσκευών, που συνδέονται στα εταιρικά δίκτυα μέσω διάσπαρτων εφαρμογών και API, αυξάνεται καθημερινά και ο πολλαπλασιασμός των τύπων των συσκευών αναμένεται να «εκραγεί» καθώς το Internet of Things κερδίζει ολοένα και περισσότερο έδαφος.
Οι ομάδες ασφαλείας θα πρέπει να βρίσκονται συνεχώς σε εγρήγορση, δίνοντας διαρκή αγώνα προκειμένου να διατηρήσουν τον έλεγχο, του ποιος και σε τι μπορεί να έχει πρόσβαση στους δικτυακούς πόρους. Την ίδια στιγμή οι ταυτότητες των χρηστών αποτελούν κύριο στόχο για τους hackers, που είναι οπλισμένοι με έγκυρες ταυτότητες και στοιχεία- τα οποία μπορούν εύκολα να προσπερνούν άλλους ελέγχους ασφαλείας. Αυτό καθιστά τις ταυτότητες ως ένα κρίσιμο ψηφιακό κεφάλαιο και τοποθετεί την ασφάλεια ταυτοποίησης στην καρδιά της δομημένης αμυντικής στρατηγικής. Πολλές εταιρείες έχουν προσπαθήσει να χρησιμοποιήσουν υπάρχοντα συστήματα IAM, για να αντιμετωπίσουν αυτές τις θεμελιώδεις αλλαγές. Όμως αυτό οδήγησε στην εξάπλωση ταυτοτήτων και σε εξαντλητικούς ελέγχους ασφαλείας, δημιουργώντας ένα χαοτικό περιβάλλον μη διαχειρίσιμων ταυτοτήτων που είναι δύσκολο να προστατευτούν. Πολλές στρατηγικές διαχείρισης ταυτοποίησης και πρόσβασης, έχουν απαρχαιωθεί, και έτσι οι εταιρείες πρέπει να προσαρμοστούν και να αναπτύξουν μακροπρόθεσμες λύσεις.
Ο βασικός ρόλος του IAM είναι να συσχετίζει όλες τις δραστηριότητες σε ένα περιβάλλον με έναν συγκεκριμένο χρήστη ή συσκευή και να παρέχει αναφορές γι’ αυτές τις δραστηριότητες. Όμως για να παραμείνει ανταγωνιστική μία εταιρεία, η εποπτεία ταυτοποίησης και πρόσβασης δεν είναι πλέον αρκετή. Το IAM πρέπει να χειρίζεται το σύνολο των ταυτοτήτων και την είσοδο παντού μέσω μίας μόνο ταυτότητας (single sign on – SSO) με εύκολο τρόπο διαχείρισης και παροχής χρηστών και συσκευών, σε μαζική κλίμακα. Παρ’ όλα αυτά, πολλές στρατηγικές IAM έχουν ακόμα ως επίκεντρο τα εσωτερικά συστήματα, που είναι ανεπαρκή όσον αφορά τις mobile εφαρμογές και τις υπηρεσίες προς τους πελάτες, των οποίων οι χρήστες απαιτούν γρήγορη και εύκολη πρόσβαση όπου και αν είναι και με όποια συσκευή και αν έχουν. Ακόμα και αυτές οι ομάδες ασφαλείας που αναγνωρίζουν την ταυτοποίηση ως νέα παράμετρο ασφαλείας, πασχίζουν να εξισορροπήσουν τις απαιτήσεις των χρηστών με τις απαιτήσεις της ασφάλειας.
Ο έλεγχος των επιπέδων ταυτότητας
Το κλειδί για την επιτυχία του ψηφιακού μετασχηματισμού, είναι η παροχή συνδυαστικών υπηρεσιών στους υπαλλήλους, στους συνεργάτες και στους πελάτες, γρήγορα και εύκολα. Αυτό τοποθετεί το SSO, αλλά και την παροχή και αφαίρεση εξουσιοδότησης από ένα κεντρικό σημείο, ψηλά στη λίστα των απαιτήσεων για μία σύγχρονη στρατηγική IAM. Στόχος είναι η ταυτότητα μίας οντότητας σε ένα domain να μπορεί να χρησιμοποιηθεί για την ταυτοποίηση της ίδιας οντότητας σε κάποιο άλλο domain. Επίσης, πρέπει να βασίζεται σε ανοικτά πρότυπα, να προσφέρει ταυτοποίηση πολλαπλών παραγόντων ανάλογα με το πλαίσιο χρήσης, να είναι αυτοεξυπηρετούμενο και κλιμακούμενο, πιθανόν με υποστήριξη για εκατομμύρια χρηστών και συσκευών.
Οι εταιρείες πρέπει να διαχειρίζονται ένα ποικίλο σύνολο πόρων πληροφορικής, που όσον αφορά τη διαχείριση ταυτοποίησης, χρησιμοποιεί ένα σύνολο διαφόρων πρωτοκόλλων αυθεντικοποιήσης. Πρέπει να στοχεύετε στη μείωση του αριθμού των στοιχείων που χρειάζονται για τη διαχείριση κάθε διαφορετικής συσκευής και είδους πρωτοκόλλου. Αυτό μειώνει τον αριθμό των διαφορετικών εργαλείων και εξειδικευμένου προσωπικού που χρειάζονται, όπως επίσης τις πιθανότητες να δημιουργούνται κενά εκεί όπου στοιχεία ελέγχου από διάφορους προμηθευτές δεν συμπίπτουν επαρκώς.
Πως το IoT επηρεάζει τη στρατηγική IAM
Το SSO, θα μπορούσαμε να πούμε ότι είναι ένα ουσιαστικό χαρακτηριστικό στη επαγγελματική και προσωπική ζωή των ανθρώπινων χρηστών, καθώς μειώνει την ανάγκη ύπαρξης πολλών passwords ή άλλων μεθόδων ταυτοποίησης. Οι μηχανές όμως και οι συσκευές IoT δεν απαιτούν απαραίτητα τις ευκολίες που προσφέρει ένα εργαλείο SSO. Οι συσκευές που πρέπει να ταυτοποιούνται σε πολλαπλά domains, θα πρέπει να έχουν ταυτότητες που να χρησιμοποιούν σε όλο το φάσμα των δικτύων που ανήκουν. Έτσι, ένα IAM που μπορεί να υποστηρίζει μόνο ένα domain δεν είναι κατάλληλο για πλήρη διαχείριση ταυτοποίησης των συσκευών IoT. Για το άμεσο μέλλον, οι CISO θα πρέπει να περιλαμβάνουν την προστασία περιβάλλοντος πολλαπλών πρωτοκόλλων στη στρατηγική ΙΑΜ. Οπότε η καλύτερη προσέγγιση θα είναι να διαπιστώσουν ποια πρωτόκολλα πρέπει να υποστηρίζονται και να χρησιμοποιήσουν κάποια λύση μίας μόνο ταυτότητας, που θα τα υποστηρίζει χωρίς την ανάγκη για εκτενείς τροποποιήσεις ή πρόσθετα στοιχεία. Αυτό θα εγγυηθεί την ασφάλεια και τη συνέπεια, που με τη σειρά τους βελτιώνουν την παραγωγικότητα των χρηστών και μειώνουν το κόστος .Όμως η σύνθεση μίας υποδομής IAM τέτοιας κατηγορίας, είναι πέρα από τις δυνατότητες των περισσοτέρων εταιρειών και απαιτεί τεράστιες επενδύσεις σε hardware και προσωπικό και στις περισσότερες περιπτώσεις θα αποτελεί δευτερεύουσα δραστηριότητα. Σε πολλές περιστάσεις, η καλύτερη επιλογή θα είναι να γίνει outsource η διαχείριση ταυτοποίησης σε κάποιον πάροχο που εξειδικεύεται σε αυτό. Γι’ αυτό πολλοί CISO στρέφονται στο IDaaS ώστε να αναβαθμίσουν τις δυνατότητες των IAM τους.
IAM στο cloud
Ένα ιδιαίτερα ελκυστικό στοιχείο του cloud-based IAM για πολλές εταιρείες, είναι ότι όχι μόνο επιτρέπει τη γρήγορη παροχή νέων δυνατοτήτων, αλλά και ότι παράλληλα λύνει το πρόβλημα εύρεσης και πρόσληψης προσωπικού ασφαλείας με δεξιότητες να υποστηρίζουν προϊόντα IAM. Η προσαρμογή των δικαιωμάτων πρόσβασης είναι συνήθως μία χρονοβόρα καθημερινή εργασία: νέοι χρήστες προκύπτουν, άλλοι φεύγουν ή αλλάζουν ρόλους, εργολάβοι και σύμβουλοι εμπλέκονται κατά καιρούς στις επιχειρησιακές διαδικασίες. Όλα τα δικαιώματα πρόσβασης πρέπει να είναι εύκολα αναβαθμίσιμα, ώστε να διατηρείται η ασφάλεια και η παραγωγικότητα. Το πόσο καλά παρέχεται η εμπειρία στον τελικό χρήστη, σίγουρα επηρεάζει την ασφάλεια, καθώς έτσι υπάρχει μικρότερο κίνητρο για την παράκαμψη ενοχλητικών διαδικασιών πρόσβασης.
Η διαχείριση των ψηφιακών ταυτοτήτων και του ελέγχου πρόσβασης για τους χρήστες, τις συσκευές και τις εφαρμογές, στον κόσμο του cloud computing, παραμένει μια μεγάλη πρόκληση. Κάθε συσκευή σε οποιοδήποτε σημείο με πρόσβαση πάντα, έχει ήδη κάνει τις εταιρείες να φτιάξουν νέους κανόνες. Καθώς το IoT σαρώνει στο πέρασμα του, σε όλο τον κόσμο, θα αναγκάσει τις επιχειρήσεις να προσαρμόσουν περεταίρω τις διαδικασίες και τις τεχνολογίες τους, ώστε να διαχειρίζονται ασφαλώς την εισροή χρηστών και συσκευών, όπως και την αύξηση πολλαπλών σημείων αλληλεπίδρασης με πρόσβαση στην πληροφορία.
Οι μέρες που οι χρήστες συμμορφώνονταν με τον κάθε τρόπο παροχής των υπηρεσιών, τελείωσαν. Οι υπηρεσίες πρέπει να προσαρμοστούν στους νέους τρόπους και στις συσκευές που χρησιμοποιούνται για να γίνει η δουλειά. Για να συμβαδίζουν με τις απαιτήσεις διακυβέρνησης και συμμόρφωσης, οι CISO θα πρέπει να κάνουν γενική επικαιροποιήση στις στρατηγικές διαχείρισης ταυτοποίησης και πρόσβασης, όπως και όλη την υποδομή IAM τους, ώστε να μειώσουν το ρίσκο σχετικά με αυτό το επίπεδο απομακρυσμένης πρόσβασης.
Ισχυρές μέθοδοι ταυτοποίησης
Δεν είστε σίγουροι ποιος βρίσκεται πραγματικά πίσω από κάποιο username και password; Το Google, το Facebook και πολλοί άλλοι, μπορούν επιτέλους να δώσουν στην τεχνολογία αυθεντικοποιήσης πολλαπλών παραγόντων την ώθηση που χρειάζεται. Αν οι χρήστες δεν μπορούν να θυμηθούν τα passwords τους, θεωρήστε το ως θετικό σημείο. Το 2015, η λίστα με τα 25 χειρότερα passwords του SplashData περιλάμβανε αναφορές στα αθλητικά, στο Star Wars, όπως το «123456» και το «password».
Όμως πέρα από αυτό, γιατί το συγκεκριμένο θέμα αποτελεί ακόμα αντικείμενο συζήτησης για τις εταιρείες;
Τα usernames και τα passwords από μόνα τους είναι ευπαθής μορφή ταυτοποίησης. Επειδή τα passwords ξεχνιούνται, καταγράφονται από τους χρήστες, και ακούσια μεταφέρονται σε ικανούς phishers που φτιάχνουν “emails δολώματα”. Η αυθεντικοποιήση πολλαπλών παραγόντων (multifactor authentication – MFA), που απαιτεί επιβεβαίωση από δύο ή περισσότερα ανεξάρτητα στοιχεία, όπως password, token ασφαλείας ή βιομετρική ταυτότητα, μπορούν να προσφέρουν περισσότερα επίπεδα προστασίας, αλλά δεν είναι ακόμα ο κανόνας. Γιατί δεν υιοθετούν ισχυρότερες μεθόδους ταυτοποίησης περισσότερες εταιρείες; Η απάντηση ίσως βρίσκεται στην αβεβαιότητα για τις καλύτερες επιλογές τεχνολογίας, τις στρατηγικές υλοποίησης και το κόστος.
Ανησυχίες περί στρατηγικής
Ξεκινήστε κατανοώντας κάτι βασικό σε ότι αφορά τους χρήστες. Είναι η βάση χρηστών μικρή και στοχευμένη σε ένα μικρό σύνολο εφαρμογών; Η νομική ομάδα σε μία μεγάλη επιχείρηση ίσως χρειαστεί να αντιμετωπίσει μεγάλο όγκο εμπιστευτικών πληροφοριών που αποθηκεύονται σε συστήματα διαχείρισης εγγράφων και εφαρμογές e-discovery. Κάποια εταιρεία ίσως αποφασίσει ότι θέλει να χρησιμοποιήσει, να αγοράσει και να διανείμει έναν περιορισμένο αριθμό συσκευών για την παραγωγή κωδικών μίας χρήσης (one time passwords – OTP). Ένας μικρός αριθμός χρηστών που ασχολείται με κρίσιμα και πολύτιμα δεδομένα, μπορεί να δικαιολογήσει πιο ακριβές προσεγγίσεις, συγκριτικά με άλλες περιπτώσεις.
Εναλλακτικά, οι εταιρείες που παρέχουν SaaS (software as a service) ή έχουν ένα μεγάλο αριθμό υπαλλήλων που χρησιμοποιούν ισχυρές μεθόδους ταυτοποίησης, ίσως δεν βρουν πρακτική τη χρήση εξειδικευμένου hardware, προτιμώντας αντιθέτως mobile εφαρμογές. Σκεφτείτε πως θα λειτουργήσει η ισχυρή ταυτοποίηση με την υπάρχουσα υποδομή διαχείρισης που έχετε.
Είναι κοινώς αποδεκτή πρακτική στην ασφάλεια, να αποφεύγουμε αλγόριθμους κρυπτογράφησης με κλειστή αρχιτεκτονική. Να προτιμάτε μεθόδους που βασίζονται σε ανοικτά πρότυπα και έχουν υποστεί εντατική εξέταση. Οι κλειστοί αλγόριθμοι μπορεί να έχουν απρόβλεπτες ευπάθειες.
Η MFA είναι κάτι νέο για πολλούς χρήστες που έχουν συνηθίσει να δουλεύουν με usernames και passwords. Μία στρατηγική MFA συμπληρώνει το σύστημα των passwords, δεν το αντικαθιστά. Είναι σημαντικό να επιβάλλετε πολιτικές ισχυρών passwords. Τέτοιες πολιτικές πρέπει να περιλαμβάνουν περιορισμό των κωδικών χωρίς ημερομηνία λήξης, της διαφοροποίησης στον ελάχιστο αριθμό και την ποικιλία χαρακτήρων, της επαναχρησιμοποίησης ίδιων κωδικών, κοκ.
Η ισχυρή αυθεντικοποιήση πρέπει να αποτελεί μέρος ενός ευρύτερου συνόλου πρακτικών ασφάλειας πληροφοριών, που περιλαμβάνουν τον διαχωρισμό και τη διαδοχική ανάθεση καθηκόντων, την παρακολούθηση και την καταγραφή συμβάντων σε συστήματα διαχείρισης ταυτοτήτων και την εκτέλεση προκαθορισμένων ελέγχων.
Τεχνολογίες αυθεντικοποιήσης
Οι ισχυρές μέθοδοι αυθεντικοποιήσης συνήθως περιλαμβάνουν δυναμικά παραγόμενα OTP ή πιστοποιητικά, όπως και context-based αυθεντικοποιήση. Το OTP χρησιμοποιεί μία συσκευή ασφαλείας στην κατοχή του χρήστη και έναν backend server. Η συσκευή ασφαλείας μπορεί να είναι hardware, όπως ένα μαγνητικό κλειδί με προστασία επέμβασης, ή software, όπως μία mobile εφαρμογή. Οι κωδικοί μίας χρήσης μπορούν επίσης να φτάσουν στα κινητά τηλέφωνα μέσω SMS. Και τα δύο είδη συσκευών για τους χρήστες μοιράζονται ένα κοινό μυστικό με τον backend server αυθεντικοποιήσης. Αυτό το μυστικό χρησιμοποιείται για την παραγωγή ενός OTP με χρονικό περιορισμό. Οι συσκευές software έχουν το πλεονέκτημα της ευκολότερης διανομής. Οι χρήστες πρέπει απλά να κατεβάσουν την εφαρμογή και έτσι οι εταιρείες δεν έχουν το φόρτο διαχείρισης της αποθήκης των φυσικών μαγνητικών κλειδιών.
Υπάρχουν δύο κοινές προσεγγίσεις στην παραγωγή OTP: με βάση το χρόνο και με βάση κάποιον άλλο αλγόριθμο. Οι αλγόριθμοι με βάση το χρόνο χρησιμοποιούν το χρόνο μαζί με κάποιο κοινό μυστικό ή token, ώστε να παράγουν έναν κωδικό. Ο αλγόριθμος OTP με βάση το χρόνο είναι ένα πρότυπο IETF για την παραγωγή κωδικών μίας χρήσης με ημερομηνία λήξης. Οι αλγόριθμοι που δε βασίζονται στο χρόνο ξεκινούν με μία τιμή seed και μία συνάρτηση hash για να παράγουν κωδικούς. Αφού παραχθεί ο αρχικός κωδικός, ο πρώτος χρησιμοποιείται στην είσοδο για την παραγωγή του νέου. Άλλα πρότυπα OTP περιλαμβάνουν το σύστημα S/KEY (RFC 1760), το σύστημα RFC 2289 και τον αλγόριθμο που βασίζεται στο HMAC.
Η αυθεντικοποιήση βάση πιστοποιητικών χρησιμοποιεί κρυπτογραφία δημοσίων κλειδιών για να παράγει τόσο δημόσια όσο και ιδιωτικά κλειδιά. Τα ιδιωτικά κλειδιά μπορούν να αποθηκεύονται σε φορητές συσκευές, όπως σε κάποιο USB drive, ή να αποθηκεύονται ασφαλώς στον υπολογιστή του χρήστη. Η χρήση μίας συσκευής USB μετριάζει το ρίσκο κατά το οποίο ένας χρήστης μπορεί να ασφαλίσει λανθασμένα ένα αρχείο ιδιωτικού κλειδιού, όμως προσθέτει το φόρτο διαχείρισης άλλης μίας φυσικής συσκευής.
Η Context-based authentication, χρησιμοποιεί πληροφορίες για τον χρήστη, όπως η γεωγραφική τοποθεσία του. Γενικά χρησιμοποιείται σε συνδυασμό με άλλες μεθόδους ταυτοποίησης. Για παράδειγμα, σε περιβάλλον υψηλής ασφάλειας, μπορεί να ζητηθεί από τον χρήστη username, password, OTP, όπως επίσης επιβεβαίωση της γεωγραφικής θέσης της συσκευής που ξεκίνησε τη διαδικασία. Άλλες τεχνικές περιλαμβάνουν εγγραφή συσκευής ή δακτυλικό αποτύπωμα, επιβεβαίωση της αρχικής διεύθυνσης IP και ανάλυση συμπεριφοράς.
Παγίδες που πρέπει να αποφεύγονται
Η κάθε τεχνολογία αυθεντικοποιήσης δεν πρέπει να είναι αποκομμένη. Ανεξάρτητα από τη μαθηματική ισχύ πίσω από μία μέθοδο αυθεντικοποιήσης, όταν υλοποιηθεί και λειτουργήσει στο περίπλοκο μείγμα χρηστών, εφαρμογών και υποδομών, θα έρθουν και οι ευπάθειες. Για παράδειγμα η Trend Micro κατέγραψε μία περίπτωση επιθέσεων σε Ευρωπαίους τραπεζικούς πελάτες, που ξεγελάστηκαν για να κατεβάσουν μία κακόβουλη εφαρμογή, με την πρόφαση ότι αυτή παράγει OTP για online τραπεζικούς λογαριασμούς. Η εκπαίδευση του τελικού χρήστη είναι ουσιώδης και εκτείνεται από τις οδηγίες εγκατάστασης μίας εφαρμογής OTP μέχρι την αποφυγή εισαγωγής OTP σε ύποπτες ιστοσελίδες. Όπως με κάθε επένδυση στο τομέα της πληροφορικής, οι μέθοδοι ισχυρής αυθεντικοποιήσης πρέπει να δικαιολογούνται με βάση τα οφέλη που υπερβαίνουν το κόστος. Οι εφαρμογές που διαχειρίζονται δημόσια διαθέσιμες πληροφορίες, ίσως δεν αποτελούν μία καλή περίπτωση επένδυσης σε τεχνολογία ισχυρής αυθεντικοποιήσης. Η αυθεντικοποιήση μέσω πολλαπλών παραγόντων είναι μία καταξιωμένη πρακτική ασφαλείας. Παρ’ όλο που υπάρχουν προκλήσεις στην υλοποίηση και συντήρηση συστημάτων MFA, που προσφέρουν σημαντικά πλεονεκτήματα συγκριτικά με τους μηχανισμούς ταυτοποίησης που χρησιμοποιούν μόνο passwords. Καθώς οι καταναλωτικές υπηρεσίες από μεγάλες εταιρείες παροχής διαδικτυακών και οικονομικών υπηρεσιών ωθούν τη χρήση MFA, το κόστος της τεχνολογίας ταυτοποίησης μπορεί να μειωθεί. Ταυτόχρονα θα αυξηθεί η επίγνωση των τελικών χρηστών για την ανάγκη ισχυρής ταυτοποίησης, και η κατανόηση του σωστού τρόπου χρήσης της. Η ισορροπία κόστους και οφέλους τείνει ξεκάθαρα προς το μέρος των μεθόδων ισχυρής ταυτοποίησης, για πολλές περιπτώσεις εταιρικής χρήσης.