- Tutte le informazioni dovrebbero essere più o meno segrete, incluso il numero della carta, il PIN, ecc. Anche il nome del titolare della carta.
- Nessuna statica (ovvero, utilizzabile più di una volta) le informazioni possono essere considerate "ciò che hai", sono tutte "ciò che sai".
- "quello che hai" potrebbe essere solo qualcosa di fisico che non è facile da duplicare. La prova di avere ciò che hai è solitamente una password generata da un tempo usando questo oggetto fisico. Esempi:
- un'indicazione di un token hardware (prova di avere il token)
- una comunicazione con elemento sicuro, chip (prova di avere una chip card in un lettore)
- una sola password generata sul lato server e consegnata tramite canale laterale (prova di avere accesso a quel canale). In 3d-secure l'oggetto è il tuo telefono cellulare (la tua scheda SIM, per essere precisi) che ti dà accesso al canale (il tuo numero di telefono). Il canale è ragionevolmente sicuro e l'accesso ad esso è ragionevolmente limitato, quindi si può presumere che l'accesso al canale per leggere l'unica password sia sufficiente per provare che si dispone fisicamente della scheda SIM.
Ora, per avere 2 fattori devi conoscere entrambi i segreti E dimostrare il tuo recente accesso all'oggetto fisico. La parte "recente" può essere implementata in molti modi, ad esempio dal token con l'orologio interno che cambia l'indicazione ogni pochi secondi o tramite il meccanismo di risposta alla sfida.
In definitiva si può dire che anche l'oggetto fisico è solo informazione: le chiavi segrete codificate in chip. Ma in sicurezza la differenza tra informazione e oggetto è che l'informazione può essere facilmente copiata, mentre un oggetto non può. Fatto divertente: le chiavi di casa sono più informazioni che oggetti, dato che è abbastanza facile crearne una copia.
Se vuoi fare solo transazioni MOTO, la carta non ha nemmeno bisogno di esistere fisicamente. Ci sono esempi di banche che emettono "carte virtuali" solo per uso di Internet, e quelle "carte" sono solo un gruppo di lettere stampate su un foglio: numero di carta, data di scadenza, nome del titolare della carta, ecc. Perché non dovrebbero essere utilizzato nel lettore di schede, non è necessario né utilizzato per nastri magnetici, chip o lettere in rilievo.