L’autenticazione forte è generalmente considerata un metodo a più fattori per confermare l’identità di una persona che cerca di accedere alle informazioni o di entrare in un’area riservata. I fattori per verificare l’identità di un individuo sono qualcosa che la persona sa, qualcosa che la persona ha e qualcosa di fisicamente particolare per quella persona. Un sistema che richiede due dei tre fattori è un sistema di autenticazione a due fattori. Questo è il livello minimo di verifica necessario per essere considerata autenticazione forte.
Il primo di questi fattori identificativi, qualcosa che la persona sa, è un’informazione presumibilmente segreta. Potrebbe trattarsi di una password o di un numero di identificazione personale (PIN). Il secondo fattore, qualcosa che la persona ha, è un oggetto unico come un documento di identità (ID), un passaporto o un token hardware. Il terzo fattore è una caratteristica di identificazione fisica come un’impronta digitale o una scansione della retina. Un’implementazione comune dell’autenticazione forte che utilizza due di questi fattori è l’uso di un numero PIN con una carta bancaria.
Più sfide allo stesso fattore non migliorano la verifica e non sono considerate autenticazione forte. Richiedere l’inserimento di un nome utente, password e un numero qualsiasi di altre informazioni che un individuo potrebbe conoscere è una sfida per un solo fattore. Lo stesso sarebbe vero per la valutazione di più identificatori biometrici per un individuo. La sicurezza di un sistema è resa più difficile da compromettere solo dalle sfide a due oa tutti e tre i tipi di fattori di verifica dell’identità.
Il controllo dell’accesso al computer spesso implica l’uso di metodi di autenticazione forte. L’autenticazione dell’identità dell’utente che richiede l’accesso e quindi la concessione dei privilegi precedentemente assegnati a quell’utente è la procedura comune. L’accesso a computer aziendali o anche personali potrebbe comportare una password assegnata abbinata a una smart card o l’uso di un dispositivo biometrico. Dopo che l’identità è stata verificata in modo soddisfacente, l’utente potrebbe essere ancora soggetto a restrizioni messe in atto dall’amministratore di sistema. L’autenticazione non implica necessariamente l’autorizzazione.
In genere è considerato impossibile verificare l’identità di un utente con assoluta certezza. L’affidabilità di un sistema di autenticazione è spesso un compromesso tra sicurezza e facilità d’uso o vincoli economici. L’utilizzo efficace dell’autenticazione forte è direttamente legato all’affidabilità dei fattori identificativi coinvolti. Le aziende che seguono una gestione lassista delle password rischiano di compromettere una parte dell’autenticazione. Lo stesso vale per un individuo se utilizza la stessa password in tutte le interazioni.