据统计，去年有超过25亿的数据被泄露。根据Ponemon Institute估计的每个违规记录148美元的平均成本来衡量，这个数字相当于3700亿美元的商业损失。Ponemon表示，数据泄露的平均成本每年都在上升。许多专家表示，旨在损害企业和个人数据的威胁行为者正变得越来越嚣张。

加剧这一问题的原因是近年来出现的严格的数据隐私法规。今年早些时候生效的GDPR是最广泛的,但是全球范围内的各个国家，美国的许多州正在制定类似的法律来规范数据的处理方式，存储和保护，将数据保护提升到IT和信息安全部门之外并进入董事会。

根据GDPR规定，任何向欧盟公民销售商品、服务或处理其数据的组织都必须遵守，包括实施“适当的技术和组织措施以确保适合风险的安全级别”。凭借当今复杂的黑客攻击，网络钓鱼和社交工程策略，即使是强密码也不足以满足此要求，也不能防止密码被破解。为了处理不同级别的系统交互和相关的风险概况，企业必须重新评估其面向客户的安全要求。这就是多因素身份验证(使用多种方法验证用户身份)发挥关键作用的地方。

面向客户的安全挑战

消费者在购买决策中更加注重品牌的信任，他们会判断，这种信任主要取决于品牌在多大程度上保护了他们的数据。与此同时，他们仍然希望有一个无缝的体验，允许他们在任何设备、任何时间、任何地点进行在线交易。

虽然多因素身份验证已被许多企业广泛采用，但推广它可能是复杂和困难的，尤其是在维护用户的易用性和访问性方面。如果安全成为一个障碍，人们要么寻找另一个提供者，要么开始寻找绕过安全系统的方法。当这种情况发生时，身份验证系统就变得不那么安全了。

完全可用的系统根本不安全，但似乎完全安全的系统根本不可用。企业如何协调实施多种安全性和合规性控制的需求，以及消费者提供易用性的需求？

加强客户身份验证的步骤

设计多因素身份验证的最佳方法是从用户需求和内部工作开始。实施团队应提出以下问题:

在客户旅程中，交互和交易是如何连接的?伪造的客户账户怎么会出现？合规差距在哪里？

在实现新方法之前检查业务流程并锁定现有的安全漏洞也是很重要的，这样就可以将面向客户的身份验证控制作为更广泛的安全体系结构的一部分建立起来。下面是实现无缝实现的10个步骤。

第一步:设定目标。 确定组织试图解决的业务问题以及应用的规则。根据客户的影响，评估特定部门的法规要求和最佳实践。目标应该建立在格言的基础上:“快，便宜，好——三选二。”

第二步:形势分析。 概述整个客户旅程和接触点，以识别燃烧问题，评估威胁级别，并确定漏洞存在的位置。考虑哪些元素（比如密码重置、购买、账户信息更改）最需要安全。

第三步：研究。 查找该领域专家的最佳实践信息，包括顾问，分析师和解决方案提供商。确定与情境分析结果相关的内容。

第四步： 供应商选择。 有了明确的业务需求，就可以评估哪些供应商可以满足这些特定的需求。不要爱上供应商或解决方案，然后尝试对项目进行逆向工程。

第五步： 实施计划。 确定组织中哪些利益相关者需要参与规划，以及部署该技术需要哪些资源。设置里程碑和时间表以保持项目正常进行。

第六 步： 测试。 确定测试阶段应满足哪些条件。在特定用例的用户子集上实现测试用例和A / B测试，然后分析结果以根据需要优化程序。

第七步：用户教育。 应提前通知现有客户新的安全控制措施，以及原因。务必为客户提供途径，以便提交问题和疑问。为客户提供各种潜在的多因素身份验证选项并让他们选择也很重要。尽可能让他们在生效之前设置他们的首选方案。

第八步： 部署。 一旦测试完成，已经进行了调整，并且用户有机会表达担忧，完全部署可以继续进行。如果出现无法预料的问题，请制定备用计划。

第九步：监控。实现对可衡量结果的监控，以反映目标，并允许利益相关者跟踪和检查计划的进展/运行情况。监控关键指标至关重要，包括错误率和客户满意度得分。

第十步： 维护。 安全不是一项一劳永逸的事情。这是一个不断迭代的过程，必须与新的威胁和风险保持同步。维护适应消费者，监管和网络安全环境变化的安全计划。

在安全性和可用性之间取得适当的平衡是企业确保消费者持续信任其品牌，履行新规定所面临的义务以及让客户满意的唯一方式。上述步骤是成功执行新的多因素身份验证程序的关键，但组织也必须努力建立对信任和隐私的积极态度。强大的内部安全文化以及整体方法将大大有助于避免违规行为和监管机构的严厉处罚。