Mentre assegniamo gli autenticatori in tre categorie comuni, è importante tenere presente che queste categorie sono in qualche modo definite in modo approssimativo. Le password sono normalmente considerate autenticatori "che conosci", ma se la scrivi e fa riferimento alla carta anziché alla memoria, diventa un fattore "che cosa hai"? Se un sistema si autentica utilizzando le dinamiche della tastiera per monitorare il ritmo e la velocità della digitazione, è sufficiente fare affidamento su "cosa sei" o "cosa sai"? Ci può essere qualche ragionevole disaccordo nel decidere come classificare specifici autenticatori.
La posizione inizialmente sembra che potrebbe essere un quarto fattore, ma è davvero? In che modo un sistema conosce la tua posizione? Probabilmente si basa su coordinate o indirizzi (fisici o IP) forniti da un dispositivo. I dati sono quindi "ciò che sai" poiché qualcun altro con gli stessi dati può duplicare quel fattore sul proprio dispositivo? E '"quello che hai" dal momento che il sistema si basa sull'affidabilità di un dispositivo per fornire dati legittimi? Dobbiamo decidere se la posizione è abbastanza distinta da essere considerata la sua categoria di fattori indipendenti.
Penso che sia importante fare una distinzione su ciò che costituisce un fattore poiché utilizziamo termini come "autenticazione a più fattori" per indicare i vantaggi di determinati sistemi. È multi-fattore se si accede a un sistema con una password da un indirizzo IP associato agli accessi passati? Se consideriamo la posizione un quarto fattore, la risposta è sì. Tuttavia, non ho visto molte persone considerarlo come un sistema di autenticazione a più fattori.
Nel documento CASA: Autenticazione scalabile sensibile al contesto gli autori concordano che i dati sulla posizione possono servire come fattore processo di autenticazione, ma in particolare lo definiscono come un fattore "passivo". Esse distinguono tra fattori "passivi" e fattori "attivi" che richiedono l'interazione dell'utente (ad esempio password, scansioni di impronte digitali, ecc.). Questo sembra un buon modo per separare i veri fattori di autenticazione da altri dati che possono essere utilizzati per aiutare a prendere decisioni di autenticazione.
A mio parere, i dati sulla posizione non dovrebbero essere considerati un quarto fattore, ma ciò non impedisce di essere utile durante il processo di autenticazione.