密码目前是用户向计算机系统进行身份验证的主要方法。但事实证明，密码保护系统免受滥用的能力越来越弱。人们越来越需要多因素身份验证（MFA），它结合了你知道的东西（例如PIN）、你拥有的东西（如令牌）和/或你正在使用的东西（比如指纹）。本报告调查了各组织为什么选择采用或不采用MFA，以及在哪里选择使用MFA。作者查阅了学术文献和行业媒体上的文章，并与使用或打算使用MFA的选定组织进行了结构化对话。他们发现，组织的类型——例如，国防承包商、银行、医院——会影响其MFA的选择。MFA是美国政府机构的强制要求，这些机构倾向于使用PIN和代币进行远程访问。在MFA的私人用户中，生成一次性密码的代币占主导地位，而不是生物识别技术。研究人员建议美国政府制定方法来评估强制MFA的成本和收益。国家标准研究所对政府机构的指导可能有助于他们理清支持和反对在特定部门强制执行MFA的各种论点