Co to jest silne uwierzytelnianie?
Silne uwierzytelnianie jest ogólnie uważane za wieloczynnikową metodę potwierdzania tożsamości osoby ubiegającej się o dostęp do informacji lub wjazd do strefy zastrzeżonej. Czynniki weryfikujące tożsamość osoby są czymś, co dana osoba wie, czymś, co dana osoba ma i czymś fizycznie szczególnym dla tej osoby. System wymagający dwóch z trzech czynników to system uwierzytelniania dwuskładnikowego. Jest to minimalny poziom weryfikacji niezbędny do uznania za silne uwierzytelnianie.
Pierwszym z tych czynników identyfikujących, o czym dana osoba wie, jest przypuszczalnie tajna informacja. Może to być hasło lub osobisty numer identyfikacyjny (PIN). Drugi czynnik, coś, co dana osoba ma, to unikatowa pozycja, taka jak dokument tożsamości (ID), paszport lub token sprzętowy. Trzecim czynnikiem jest fizycznie identyfikująca cecha, taka jak odcisk palca lub skan siatkówki. Powszechną implementacją silnego uwierzytelniania wykorzystującą dwa z tych czynników jest użycie numeru PIN z kartą bankową.
Wiele wyzwań dla tego samego czynnika nic nie poprawia weryfikacji i nie są uważane za silne uwierzytelnianie. Wymaganie podania nazwy użytkownika, hasła i dowolnej liczby innych informacji, które dana osoba może znać, stanowi wyzwanie tylko dla jednego czynnika. To samo dotyczy oceny wielu identyfikatorów biometrycznych dla danej osoby. Bezpieczeństwo systemu jest trudniejsze do pogodzenia tylko z powodu wyzwań dla dwóch lub wszystkich trzech rodzajów czynników weryfikacji tożsamości.
Kontrola dostępu do komputera często wymaga użycia silnych metod uwierzytelniania. Uwierzytelnianie tożsamości użytkownika ubiegającego się o dostęp, a następnie przyznawanie uprawnień wcześniej przypisanych temu użytkownikowi jest powszechną procedurą. Dostęp do komputerów firmowych, a nawet osobistych może wymagać przypisanego hasła w połączeniu z kartą inteligentną lub użyciem urządzenia biometrycznego. Po zweryfikowaniu tożsamości w sposób satysfakcjonujący użytkownik może nadal podlegać ograniczeniom wprowadzonym przez administratora systemu. Uwierzytelnianie niekoniecznie oznacza autoryzację.
Zasadniczo uważa się za niemożliwe zweryfikowanie tożsamości użytkownika z całkowitą pewnością. Niezawodność systemu uwierzytelniania jest często kompromisem między bezpieczeństwem a łatwością obsługi lub ograniczeniami ekonomicznymi. Skuteczne użycie silnego uwierzytelnienia jest bezpośrednio związane z wiarygodnością czynników identyfikujących. Firmy przestrzegające luźnego zarządzania hasłami ryzykują utratę jednego etapu uwierzytelnienia. To samo dotyczy osoby, która używa tego samego hasła we wszystkich interakcjach.