您可能认为第一个问题的答案很简单

pappu92654

强身份验证需要强注册
注册是身份生命周期的第一阶段：在注册期间，将为某个身份（用户）分配一个身份验证器。但在组织注册特定用户之前，它应该考虑以下几个问题：


每个人都应该使用 MFA！

但是，有些用户或群组可能不应该或不能注册。想想那些存在但不活跃的账户——比如休育儿假的员工，或者从未或不再分配给特定用户的孤立账户。安全团队不应该允许这些账户注册 MFA，因为向这些账户发出的任何新的或更改的身份验证器注册都不太可能被注意到。例如，通知更改设置的通知电子邮件只会留在一些不受监控的收件箱中。

第二个问题更为关键，因为它需要从两个角度来探讨：

您的组织的注册如何才能达到所需的信任水平？
如何才能以方便用户和管理/服务台的方式让注册达到所需的信任级别？
对身份验证器的任何信任都取决于它最初的注册方式：只要用户继 哥斯达黎加电报筛选 续使用该身份验证器，用户在注册时的安全程度就会设定他们的信任上限。

换句话说：无论您使用的是硬件还是软件，如果初始注册足够强大，身份验证器只能提供 MFA 登录或加强身份验证所需的信任级别。如果您打下的基础不牢固，那么您的房子将永远不稳定。

切勿仅使用密码进行注册
有很多方法可以决定谁可以注册以及他们应该如何完成注册过程，以兼顾安全性和便利性。但无论您的组织决定如何，请确保您不仅仅使用密码进行注册。

为什么不呢？密码很方便。用户已经知道他们的凭证，因此管理员除了将 MFA 解决方案指向 Active Directory 之外无需担心任何事情。对吗？