Hva er sterk autentisering?
Sterk autentisering anses generelt for å være en flerfaktorisert metode for å bekrefte identiteten til en person som søker tilgang til informasjon eller innreise i et begrenset område. Faktorene for å verifisere identiteten til et individ er noe personen vet, noe personen har og noe fysisk spesielt for den personen. Et system som krever to av de tre faktorene, er et tofaktors autentiseringssystem. Dette er det minimale verifiseringsnivået som er nødvendig for å bli ansett som sterk autentisering.
Den første av disse identifiserende faktorer, noe personen vet, er en antagelig hemmelig informasjon. Dette kan være et passord eller en personlig identifikasjonsnummer (PIN). Den andre faktoren, noe personen har, er et unikt element som et identitetsdokument (ID), pass eller maskinvaretoken. Den tredje faktoren er en fysisk identifiserende egenskap som fingeravtrykk eller retinal skanning. En vanlig implementering av sterk autentisering ved bruk av to av disse faktorene er bruken av et PIN-nummer med et bankkort.
Flere utfordringer med samme faktor gjør ingenting for å forbedre verifiseringen og anses ikke for å være sterk autentisering. Å kreve oppføring av brukernavn, passord og hvilket som helst antall andre informasjonselementer som en person kanskje kjenner til, er en utfordring for en faktor. Det samme vil være tilfelle for å evaluere flere biometriske identifikatorer for et individ. Sikkerheten til et system blir vanskeligere å kompromittere bare ved utfordringer til to eller alle tre av typene identitetsbekreftelsesfaktorer.
Datatilgangskontroll innebærer ofte bruk av sterke autentiseringsmetoder. Den vanlige prosedyren er å autentisere identiteten til brukeren som søker tilgang og deretter gi rettigheter som ble tildelt den brukeren. Tilgang til firmamaskiner eller til og med personlige datamaskiner kan innebære et tilordnet passord koblet med et smartkort eller bruk av en biometrisk enhet. Etter at identiteten er bekreftet tilfredshet, kan brukeren fremdeles være underlagt begrensninger satt av systemadministratoren. Autentisering innebærer ikke nødvendigvis autorisasjon.
Det anses generelt som umulig å verifisere brukerens identitet med full sikkerhet. Påliteligheten til et autentiseringssystem er ofte en avveining mellom sikkerhet og brukervennlighet eller økonomiske begrensninger. Vellykket bruk av sterk autentisering er direkte knyttet til påliteligheten til de identifiserende faktorene som er involvert. Bedrifter som følger med slapp passordhåndtering risikerer å gå på akkord med ett autentiseringsmål. Det samme er tilfelle for en person hvis han eller hun bruker det samme passordet i alle samhandlinger.