De afweging die gemaakt moet worden tussen security en gebruikersgemak, en waar die grens te leggen. Elke twee minuten een MFA-challenge moeten doen is volkomen onwerkbaar, en slechts een keer per maand is waarschijnlijk te weinig, maar waar ligt de grens? Op welk punt is het onredelijk om gebruikers op te zadelen met nog meer onderbrekingen van hun werk uit naam van security. Tevens de grens tussen security en de privacy van gebruikers; vanuit security perspectief gezien wil je bijvoorbeeld misschien loggen wie wanneer vanaf welk device precies welke website bezoekt, vanuit privacy voor de gebruikers wil je ze de mogelijkheid bieden om, bijvoorbeeld, op de website van een kliniek te kijken welk nummer ze moeten bellen. Maar wil je loggen wie er precies naar zo'n kliniek moet? (dit is slechts een voorbeeld ter illustratie natuurlijk, maar er zijn tientallen van dit voorbeelden te bedenken). "Alles dicht en alles nee" waarschijnlijk heel veilig, maar wat je wil is "Ja, mits". Hoe doen we dat precies, en hoe ...