Che cos'è l'autenticazione forte?
L'autenticazione forte è generalmente considerata un metodo multifattoriale per confermare l'identità di una persona che cerca l'accesso alle informazioni o l'ingresso in un'area riservata. I fattori per verificare l'identità di un individuo sono qualcosa che la persona conosce, qualcosa che la persona ha e qualcosa di fisicamente particolare per quella persona. Un sistema che richiede due dei tre fattori è un sistema di autenticazione a due fattori. Questo è il livello minimo di verifica necessario per essere considerato autenticazione forte.
Il primo di questi fattori identificativi, qualcosa che la persona conosce, è presumibilmente un'informazione segreta. Potrebbe essere una password o un numero di identificazione personale (PIN). Il secondo fattore, qualcosa che la persona ha, è un elemento unico come un documento di identità (ID), passaporto o token hardware. Il terzo fattore è una caratteristica che identifica fisicamente come un'impronta digitale o la scansione della retina. Un'implementazione comune dell'autenticazione avanzata che utilizza due di questi fattori è l'uso di un numero PIN con una carta di credito.
Molteplici sfide per lo stesso fattore non fanno nulla per migliorare la verifica e non sono considerate autenticazione forte. Richiedere l'inserimento di un nome utente, password e un numero qualsiasi di altri elementi di informazione che un individuo potrebbe conoscere è una sfida per un solo fattore. Lo stesso vale per la valutazione di più identificatori biometrici per un individuo. La sicurezza di un sistema è resa più difficile da compromettere solo dalle sfide a due o tutti e tre i tipi di fattori di verifica dell'identità.
Il controllo dell'accesso al computer comporta spesso l'uso di metodi di autenticazione efficaci. L'autenticazione dell'identità dell'utente che cerca l'accesso e quindi la concessione dei privilegi precedentemente assegnati a quell'utente è la procedura comune. L'accesso a computer aziendali o anche personali può comportare una password assegnata accoppiata a una smart card o l'uso di un dispositivo biometrico. Dopo che l'identità è stata verificata in modo soddisfacente, l'utente potrebbe essere ancora soggetto alle restrizioni imposte dall'amministratore di sistema. L'autenticazione non implica necessariamente un'autorizzazione.
È generalmente impossibile verificare l'identità di un utente con assoluta certezza. L'affidabilità di un sistema di autenticazione è spesso un compromesso tra sicurezza e facilità d'uso o vincoli economici. L'uso corretto dell'autenticazione forte è direttamente legato all'affidabilità dei fattori identificativi coinvolti. Le aziende che seguono una gestione lassista delle password rischiano di compromettere una parte dell'autenticazione. Lo stesso vale per un individuo se utilizza la stessa password in tutte le interazioni.