Несколько факторов просто означают более одного способа проверки личности пользователя. Идентификатор имени пользователя/входа - это идентификатор, поэтому нам нужно убедиться, что идентификатор действительно исходит от человека, которому он назначен.
Самый распространенный (и самый расстраивающий) способ проверки - это пароль. Это секрет, который якобы знает только пользователь.
Другие формы проверки включают в себя:
- Mac идентификатор адреса/машина (если она исходит от известного источника, это, вероятно, они - к сожалению, легко подделать, а).
- PKI - ключевое управление - это единственное, что делает его более безопасным, чем пароль. По сути дела, вы должны проверить, что запрос сертификата, который они отправляют с их устройства, действительно им. Как только вы это сделаете, вы выдаете сертификат, который они используют с этой точки вперед. ПРИМЕЧАНИЕ. Не все браузеры поддерживают PKI (в настоящий момент это заметный недостаток в Google Chrome).
- Вторичный общий секрет. Это может быть GUID, который обменивается через зашифрованное соединение или что-то в этом роде.
- Биометрические данные. Требуется внешнее оборудование, но отпечатки пальцев и сканирование сетчатки могут быть трудно реплицироваться.
- Мутирующий ключ с внешнего сервиса. Что-то вроде фрейма RSA, который каждую минуту отображает новый шестизначный ключ. Комбинация серийного номера fob и отображаемой клавиши гарантирует, что у вас есть правильный парень.
ПРИМЕЧАНИЕ: USB-устройство RSA является внешним устройством, но вы вызываете и не требуете подключения к клиентской машине. После того как вы связали серийный номер fob с учетной записью, вы используете шестизначный ключ пользователя в службе аутентификации RSA. Конечно, время сервера необходимо синхронизировать с RSA.Многие корпоративные VPN используют это как вторичный (или иногда первичный) метод проверки пользователя.
Я уверен, что есть много других вариантов. Трюк заключается в нахождении правильного баланса между требуемой безопасностью и головной болью обслуживания, когда метод проверки не работает, и пользователь требует поддержки.