Co to jest silne uwierzytelnianie?

Silne uwierzytelnianie jest ogólnie uważane za wieloczynnikową metodę potwierdzania tożsamości osoby poszukującej dostępu do informacji lub wejścia na obszar o ograniczonym dostępie. Czynnikami służącymi do weryfikacji tożsamości osoby są coś, o czym ta osoba wie, coś, co dana osoba ma i coś fizycznie szczególnego dla tej osoby. System wymagający dwóch z trzech czynników to system uwierzytelniania dwuskładnikowego. Jest to minimalny poziom weryfikacji niezbędny, aby można go było uznać za silne uwierzytelnianie.

Pierwszym z tych czynników identyfikujących, o czym wie osoba, jest przypuszczalnie tajna informacja. Może to być hasło lub osobisty numer identyfikacyjny (PIN). Drugim czynnikiem, czymś, co posiada osoba, jest unikalny przedmiot, taki jak dokument tożsamości (ID), paszport lub token sprzętowy. Trzeci czynnik to fizyczna cecha identyfikująca, taka jak odcisk palca lub skan siatkówki. Powszechną implementacją silnego uwierzytelniania przy użyciu dwóch z tych czynników jest użycie numeru PIN z kartą bankową.

Wielokrotne wezwania do tego samego czynnika nie poprawiają weryfikacji i nie są uważane za silne uwierzytelnianie. Wymaganie podania nazwy użytkownika, hasła i dowolnej liczby innych informacji, które dana osoba może znać, jest wyzwaniem tylko dla jednego czynnika. To samo dotyczy oceny wielu identyfikatorów biometrycznych dla osoby. Bezpieczeństwo systemu jest trudniejsze do złamania tylko przez wyzwanie dla dwóch lub wszystkich trzech typów czynników weryfikacji tożsamości.

Kontrola dostępu do komputera często wiąże się z użyciem silnych metod uwierzytelniania. Powszechną procedurą jest uwierzytelnianie tożsamości użytkownika starającego się o dostęp, a następnie nadawanie uprawnień wcześniej przypisanych temu użytkownikowi. Dostęp do komputerów firmowych lub nawet osobistych może wiązać się z przypisanym hasłem połączonym z kartą inteligentną lub korzystaniem z urządzenia biometrycznego. Po zweryfikowaniu tożsamości w sposób zadowalający użytkownik może nadal podlegać ograniczeniom nałożonym przez administratora systemu. Uwierzytelnianie niekoniecznie oznacza autoryzację.

Generalnie uważa się, że niemożliwe jest zweryfikowanie tożsamości użytkownika z całkowitą pewnością. Niezawodność systemu uwierzytelniania jest często kompromisem między bezpieczeństwem a łatwością użytkowania lub ograniczeniami ekonomicznymi. Pomyślne użycie silnego uwierzytelniania jest bezpośrednio związane z wiarygodnością zaangażowanych czynników identyfikujących. Firmy, które stosują luźne zarządzanie hasłami, ryzykują narażeniem jednej nogi uwierzytelniania. To samo dotyczy osoby, która używa tego samego hasła we wszystkich interakcjach.