การฝึกอบรมความปลอดภัยทางไซเบอร์สำหรับพนักงานทั่วไปขององค์กรใดๆ จะบอกคุณว่าการละเมิดทางไซเบอร์มักเป็นผลมาจากการขาดความระมัดระวัง พนักงานคนหนึ่งไม่สังเกตเห็นที่อยู่อีเมลที่น่าสงสัย คลิกลิงก์และเริ่มเหตุการณ์ต่อเนื่องที่จบลงด้วยผู้คนนับล้านที่ลงทะเบียนในการป้องกันการโจรกรรมข้อมูลประจำตัวแต่คนส่วนใหญ่ไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์หรือแม้แต่ความคุ้นเคย เนื่องจากข้อกำหนดด้านความปลอดภัยในโลกไซเบอร์ลดลงถึงระดับผู้ใช้
ความเหนื่อยล้าด้านความปลอดภัยจึงกลายเป็นปัญหา การขาดความเข้าใจ
ความร้ายแรงเกี่ยวกับการละเมิดที่หลีกเลี่ยงไม่ได้ หรือแม้แต่ความเกียจคร้านที่แท้จริงอาจทำให้ผู้คนใช้รหัสผ่านซ้ำและข้ามการยืนยันตัวตนแบบสองปัจจัย สำหรับคนที่จะใช้โซลูชันทางไซเบอร์ จะต้องง่ายพอสำหรับคนธรรมดาที่จะเข้าใจได้โดยไม่ยาก
Phil Lam ผู้อำนวยการบริหารของ Identity ที่ General Services Administration’s Technology Transformation Service กล่าวว่า “การสร้างสมดุลระหว่างความสะดวกในการใช้งานและการรักษาความปลอดภัยที่แข็งแกร่งเป็นสิ่งสำคัญอย่างยิ่ง “เมื่อเรานึกถึงข้อมูลระบุตัวตนทางดิจิทัล เรามองว่าข้อมูลดังกล่าวเป็นกลไกสำหรับสาธารณะในการมีส่วนร่วมกับรัฐบาลได้ง่ายขึ้นและปลอดภัย”
คำถามเพื่อความปลอดภัยเป็นวิธีที่ล้าสมัยในการสร้างข้อมูล
ประจำตัวในสภาพแวดล้อมสมัยใหม่ ข้อมูลส่วนใหญ่ เช่น นามสกุลเดิมของแม่ ที่อยู่ก่อนหน้า สัตว์เลี้ยงในวัยเด็ก สามารถพบได้จากโปรไฟล์โซเชียลมีเดีย ในทางกลับกัน ไบโอเมตริกมีศักยภาพในฐานะวิธีที่เชื่อถือได้มากกว่าในการสร้างข้อมูลระบุตัวตน หากการใช้งานสามารถกำหนดมาตรฐานได้
อันที่จริงแล้ว ไบโอเมตริกสามารถนำมาใช้ในลักษณะที่สะท้อนมาตรฐานความปลอดภัยทางกายภาพ เช่น มาตรฐานที่เกี่ยวข้องกับกระบวนการ Common Access Card (CAC) ความเป็นไปได้ใหม่ๆ ที่เริ่มเห็นการใช้งานคือการจับคู่ภาพเซลฟี่ของผู้ใช้กับภาพถ่ายในไฟล์ และการพิสูจน์อักษร – จับคู่ลายนิ้วมือบนอุปกรณ์มือถือกับลายนิ้วมือที่รวบรวมด้วยตนเองในสถานที่ราชการ เช่น DMV
แต่จำเป็นต้องมีการระบุระดับที่แตกต่างกันสำหรับระดับการเข้าถึงที่แตกต่างกัน การพิสูจน์ตัวตนอาจจำเป็นสำหรับการเข้าถึงบริการหรือเครือข่ายอย่างเต็มรูปแบบ เช่น ในกรณีของพนักงานหรือลูกค้าประจำ แต่การโต้ตอบแบบผิวเผินหรือการติดต่อที่ไม่บ่อยนัก เช่น การส่งความคิดเห็นของผู้ใช้เพียงครั้งเดียวหรือแบบสำรวจความพึงพอใจ อาจต้องการให้ผู้ใช้พิสูจน์ว่าตนไม่ใช่บ็อต
หน่วยงานของรัฐบาลกลางจำเป็นต้องใช้แนวทางการจัดการความเสี่ยงในการยืนยันตัวตนและการรับรองความถูกต้อง ความถี่ของการโต้ตอบจำเป็นต้องได้รับการพิจารณา และแรงเสียดทานที่ผู้ใช้พบจะต้องแปรผันตรงกับความเสี่ยง
