Por lo general, se considera que la autenticación fuerte es un método de varios factores para confirmar la identidad de una persona que busca acceder a la información o ingresar a un área restringida. Los factores para verificar la identidad de un individuo son algo que la persona sabe, algo que la persona tiene y algo físicamente particular de esa persona. Un sistema que requiere dos de los tres factores es un sistema de autenticación de dos factores. Este es el nivel mínimo de verificación necesario para que se considere una autenticación sólida.
El primero de estos factores de identificación, algo que la persona sabe, es un elemento de información presuntamente secreto. Puede ser una contraseña o un número de identificación personal (PIN). El segundo factor, algo que tiene la persona, es un elemento único, como un documento de identidad (ID), pasaporte o token de hardware. El tercer factor es una característica de identificación física, como una huella dactilar o un escaneo de retina. Una implementación común de autenticación fuerte que utiliza dos de estos factores es el uso de un número PIN con una tarjeta bancaria.
Múltiples desafíos al mismo factor no hacen nada para mejorar la verificación y no se consideran autenticación sólida. Exigir el ingreso de un nombre de usuario, contraseña y cualquier otra información que una persona pueda conocer es un desafío para un solo factor. Lo mismo sería cierto para la evaluación de múltiples identificadores biométricos de un individuo. La seguridad de un sistema se vuelve más difícil de comprometer solo por desafíos a dos o los tres tipos de factores de verificación de identidad.
El control de acceso a la computadora a menudo implica el uso de métodos de autenticación sólidos. Autenticar la identidad del usuario que busca acceso y luego otorgar privilegios previamente asignados a ese usuario es el procedimiento común. El acceso a computadoras corporativas o incluso personales puede implicar una contraseña asignada junto con una tarjeta inteligente o el uso de un dispositivo biométrico. Una vez que se haya verificado la identidad de manera satisfactoria, es posible que el usuario aún esté sujeto a las restricciones impuestas por el administrador del sistema. La autenticación no implica necesariamente autorización.
Por lo general, se considera imposible verificar la identidad de un usuario con total certeza. La confiabilidad de un sistema de autenticación es a menudo una compensación entre seguridad y facilidad de uso o limitaciones económicas. El uso exitoso de la autenticación fuerte está directamente relacionado con la confiabilidad de los factores de identificación involucrados. Las empresas que siguen una gestión laxa de contraseñas corren el riesgo de comprometer una parte de la autenticación. Lo mismo es cierto para una persona si usa la misma contraseña en todas las interacciones.