Ścisłe uwierzytelnianie oznacza połączenie różnych metod uwierzytelniania. Do hasła lub PIN można dodać inteligentną kartę, generator tokenów lub urządzenie biometryczne. Pojawiły się też nowe pomysły. Wielu dostawców umożliwia stosowanie telefonów komórkowych w charakterze tokenów uwierzytelniających - wysyłanie na telefon komórkowy komunikatu z jednorazowym numerem. Inne produkty generują unikatowe podpisy na PC użytkownika lub innym sprzęcie. Niektóre systemy biometryczne wymagają od użytkownika połączenia się z bezpłatnym numerem, który weryfikuje jego głos i wydaje PIN logowania.

Firma SchlumbergerSema sprzedaje inteligentne karty z czytnikiem linii papilarnych. Smart Badging RSA Security oferuje kartę inteligentną, która funkcjonuje jako generator tokenów SecurID i przechowuje osobiste hasła do wielu ośrodków webowych.

Zobacz również:

• Projektowanie zorientowane na użytkownika - Polska powyżej europejskiej średniej
• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie

Można zaobserwować też pewien "konflikt" pomiędzy bezpieczeństwem i wygodą, co jest poważnym wyzwaniem dla ścisłych metod uwierzytelniania. Karty inteligentne nadal wymagają zainstalowania na PC odpowiedniego sterownika. Użytkownicy nie lubią noszenia z sobą mnóstwa kart i innych urządzeń uwierzytelniających. Jak można uwierzytelnić pracownika, który zapomniał swoją kartę w domu? Telefon komórkowy też czasami może zostać w domu, a także musi mieć zagwarantowane "pokrycie" sieci bezprzewodowej, aby mógł działać. Biometryka w znacznym stopniu łagodzi ten problem. Ale co począć, kiedy użytkownik ma chrypkę i nie może "wydać z siebie" rozpoznawalnej próbki głosu? Biometryka także nie jest bez wad.

Pewnym rozwiązaniem tych problemów mogłaby być uniwersalna karta w rodzaju dowodu osobistego. Wystarczyłoby mieć tylko tą jedną kartę będącą na przykład jednocześnie prawem jazdy. Ale kto zaręczy, że na czarnym rynku nie pojawią się fałszywe karty identyfikacyjne?

Uwierzytelnianie musi być więc bardziej elastyczne. Systemy uwierzytelniania powinny uwzględniać pewne poziomy (konteksty): jeżeli ktoś zapomniał swojej karty identyfikacyjnej, to należy mu umożliwić logowanie po uwierzytelnieniu hasłem, ale wykluczyć wtedy dostęp do bardziej krytycznych aplikacji. Jednokrotne logowanie jest na pewno bardzo wygodne, ale stopniowane, kontekstowe uwierzytelnianie jest bardziej bezpieczne.

Podstawowe procesy zarządzania tożsamością także muszą być udoskonalane. Należy zapewnić, aby system weryfikujący tożsamość przed wydaniem potwierdzenia był szczelny. Trzeba inwestować w szkolenie użytkowników i system dostarczania haseł zapewniający ich wysoką jakość. Gdy planuje się stosowanie kart inteligentnych, lub inne środki ścisłego uwierzytelniania, należy połączyć je z systemem usług katalogowych i infrastrukturą zarządzania dostępem do weba.

Należy przy tym wszystkim pamiętać o tym , że choć technologie uwierzytelniania są coraz silniejsze, coraz sprytniejsi są także hakerzy.