Il processo di verifica molte volte è un processo bidirezionale, cioè la parte A afferma qualcosa, la parte B pone un indovinello in risposta (come chiedere nome utente e password, inviare un'email di verifica, ecc.), la parte A risolve l'enigma .
Questo è l'unico modo in cui B può essere sicuro che A è ciò che afferma di essere. Il caso più semplice è l'autenticazione in cui viene richiesto di fornire nome utente e password per un sito Web.
Tuttavia, l'autenticazione per un dipendente di un'azienda non è possibile senza una terza parte, che in questo esempio è il proprietario dell'azienda e, naturalmente, in primo luogo dovresti fidarti del proprietario della società. Ad esempio, considera IBM come uno dei tuoi clienti. Il CEO di IBM si registra nel tuo sito Web e tu diventi sicuro che lui / lei è il vero CEO di IBM. D'ora in poi, dato che ti fidi di questa terza parte , chiunque venga al tuo sito con l'affermazione che lui / lei lavora per IBM, può essere verificato con l'aiuto del CEO.
I tuoi requisiti aziendali sono esattamente come Certificati . Un visitatore del sito foo.com vuole assicurarsi che il sito sia abbastanza affidabile per i pagamenti online. In che modo il visitatore può essere sicuro di questo? Vede una notifica di certificato nella barra degli indirizzi (nel caso del protocollo HTTPS). Ma è abbastanza? Ovviamente no. Perché fino a qui, ci sono solo due parti coinvolte nel labirinto di verifica e la seconda parte (sito Web) può richiedere un certificato. L'unico punto brillante qui è che, il visitatore dovrebbe fidarsi di una terza parte per verificare il certificato del sito foo.com.