Ho iniziato a fare questa domanda per essere introdotta prima di scoprire quella. Alla luce del giudizio suggerito dal giudice magistrato su PATCO v. People's United (che implica un teoria orribile riguardo all'autenticazione multifattoriale), definisco qualcosa che hai in questo modo:
Quello che hai deve essere solo compromesso da un utente malintenzionato che ha accesso fisico a ciò che hai. Questo esclude:
- Una password scritta su un pezzo di carta (una volta che qualcuno lo vede, lo sanno)
- Un cookie memorizzato sul tuo computer
- "Domande sulla sicurezza" (sono solo un'altra password)
- La tua chiave PGP è conservata su una chiavetta USB se la colleghi a una macchina con accesso alla rete
Detto questo, prenderei in considerazione un elenco di 100 password che non hanno alcuna relazione e ognuna di esse viene utilizzata una sola volta e sarebbe considerata come qualcosa che hai. Un elenco cartaceo di 100 password che potrebbero essere richieste più di una volta non si qualificherebbe come un utente malintenzionato sarebbe in grado di fingere di avere accesso a tale credenziale monitorando.
Qualcosa che devi essere qualcosa la cui integrità può essere assicurata dal controllo fisico. Gli attacchi dall'altra parte del canale come rubare il loro database di autenticazione o rompere un protocollo crittografico non contano. Se può essere compromessa senza l'interferenza fisica di un aggressore (o rompendo un algoritmo di crittografia poiché sono parte integrante della dimostrazione del possesso da remoto), non è qualcosa che hai. Le carte bancomat sono un po 'confuse in questo modo: un ATM compromesso potrebbe fornire tutti i dati della traccia, anche se ciò che di solito vediamo sono gli skimmer (accesso fisico). I token RSA sono un altro che considererei qualcosa che hai.
Mi piacciono le smart card, perché metterle in un lettore non espongono i loro segreti, né compromettere il database di autenticazione.