Utilizza un nome utente e l'autenticazione a due fattori per smart card?

Se il nome utente è segreto e non ragionevolmente estraibile dalla carta, direi di si.

Se il nome utente non è segreto, o almeno facilmente immaginabile perché è strongmente basato su qualcosa di non segreto come il tuo nome, non dovrebbe essere considerato un "fattore" per l'autenticazione.

Se il nome utente è facilmente recuperabile dalla carta, non abbiamo fattori indipendenti, il che è ciò di cui abbiamo veramente bisogno quando discutiamo dell'autenticazione a più fattori.

Is username counted as one-factor, something you know?

Un nome utente non è un fattore di autenticazione, un nome utente è utilizzato per l'identificazione. Per provare ciò che affermi di essere, autentica la tua "identità" contro un sistema fornendo qualcosa che tu e solo tu sai, qualcosa di segreto.

What if the smart card doesn't contain the user information but the username is checked on the server before the smart card is used?

Questo è un flusso di lavoro di autenticazione standard, alcuni sistemi controllano prima il nome utente e poi chiedono all'utente la password o gli chiedono di usare altri media come smart-card.

I tre fattori per l'autenticazione sono, ancora:

• qualcosa che hai
• qualcosa che conosci
• qualcosa che sei

Ovviamente non puoi usare nessuno di questi per l'autenticazione senza ulteriori vincoli. Per utilizzare uno di questi per l'autenticazione è importante che un avversario non possa replicare il fattore di autenticazione .

Generalmente i nomi possono essere facilmente indovinati, il che significa che un nome utente non è adatto per essere utilizzato come fattore di autenticazione.

Allo stesso modo, avere una smart card è di scarsa utilità se un avversario può semplicemente estrarre qualsiasi informazione segreta che è memorizzata sulla carta.

I dati biometrici non sono molto utili se l'autenticazione può essere ingannata accettando un'immagine o l'impronta digitale di Gummi.