Код вишефакторске аутентификација идентитет корисника доказује се са више података различитих категорија. Предност вишефакторске аутентификације је првенствено у већој сигурности. Мала је вероватноћа да ће нападач успети истовремено да компромитује два или више аутентификациона објекта различитих категорија.
Поред тога што се за аутентификацију користе подаци различитих категорија, акценат се ставља и на достављању тих података кроз различите комуникационе канале. На пример, двофакторска аутентификација (2FA) на многим веб сервисима уз корисничко име и лозинку, као податка једне категорије који се доставља кроз један комуникациони канал – интернет, подразумева и коришћење случајно генерисаног кода који стиже на мобилни телефон корисника, као податка друге категорије који се доставља кроз други комуникациони канал – мобилну мрежу.
Анализирајте један систем који захтева 2FA, уочите које се категорије података користе за аутентификацију и који се комуникациони канали користе за достављање тих података.
На пример, да би сте се пријавили на систем за електронско банкарство ОТП банке неопходно је да унесете корисничко име и лозинку на веб порталу банке:
прочитате случајно генерисани код којег сте добили SMS поруком на ваш мобилни телефон:
и у одређеном временском периоду на веб порталу унесете добијени код како би комплетирали процес пријаве:
У овом примеру први податак било је корисничко име и лозинка који се уносе на портал (канал за достављање: интернет/HTTPS). Након што је систем за аутентификацију проверио корисничко име и лозинку, на број мобилног телефона асоцираним са налогом корисника послао је други податак – случајно генерисани код (канал за достављање: мобилна мрежа/SMS). На крају се други податак у одређеном временском периоду уноси на портал како би се комплетирао процес аутентификације.
Да би се компромитовао овај систем, нападач треба да компромитује базу са лозинкама (или сазна лозинку корисника на други начин) и истовремено, нападач треба да компромитује мобилну мрежу коју користи корисник (или да има физички приступ мобилном телефону корисника и његовим SMS порукама). По пријему SMS поруке са кодом, нападач има само један минут времена да искористи код за потврду, након чега код постаје невалидан.