L'authentification forte est généralement considérée comme une méthode de multiples facteurs de confirmer l'identité d'une personne qui demande l'accès à l'information ou de l'entrée dans une zone réglementée. Les facteurs pour vérifier l'identité d'un individu est quelque chose que la personne sait, quelque chose de la personne a quelque chose de physique et particulier à cette personne. Un système nécessitant deux des trois facteurs est un système d'authentification à deux facteurs. C'est le niveau minimal de vérifications nécessaires pour être considéré comme l'authentification forte.
Le premier de ces facteurs d'identification, quelque chose que la personne sait, est un élément sans doute le secret de l'information. C'est peut-être un mot de passe ou un numéro d'identification personnel (NIP). Le deuxième facteur, quelque chose que la personne, est une pièce unique comme une pièce d'identité (ID), un passeport ou d'un jeton matériel. Le troisième facteur est une caractéristique physique d’identification telle que les empreintes digitales ou rétiniennes. Une mise en œuvre commune de l'authentification forte utilisant deux de ces facteurs est l'utilisation d'un code PIN avec une carte bancaire.
De multiples défis au même facteur ne font rien pour améliorer la vérification et ne sont pas considérés comme une authentification forte. Nécessitant la saisie d'un nom d'utilisateur, mot de passe et un certain nombre d'autres éléments d'information qu'un individu puisse connaître est un défi à un seul facteur. La même chose serait vraie pour évaluer plusieurs identificateurs biométriques d'un individu. La sécurité d'un système est d'autant plus difficile de faire des compromis que par des défis à deux ou les trois types de facteurs de vérification d'identité.
Contrôle d'accès informatique implique souvent l'utilisation de méthodes d'authentification forte. Authentifier l'identité de l'utilisateur demandant l'accès et l'octroi de privilèges précédemment attribués à cet utilisateur est la procédure commune. L'accès à des entreprises ou même des ordinateurs personnels pourrait impliquer un mot de passe attribué couplé avec une carte à puce ou l'utilisation d'un dispositif biométrique. Après identité a été vérifiée à la satisfaction, l'utilisateur peut encore être soumis à des restrictions mises en place par l'administrateur du système. Authentification n'implique pas nécessairement l'autorisation.
Il est généralement considéré comme impossible de vérifier l'identité d'un utilisateur avec une certitude absolue. La fiabilité d'un système d'authentification est souvent un compromis entre la sécurité et la facilité d'utilisation ou de contraintes économiques. L'utilisation réussie de l'authentification forte est directement liée à la fiabilité des facteurs d'identification impliqués. Les entreprises qui suivent laxiste de gestion des risques passent compromettre une jambe d'authentification. Le même est vrai pour un individu si il ou elle utilise le même mot de passe dans toutes les interactions.