¿El nombre de usuario se cuenta como factor único, algo que sabes?
Una tarjeta inteligente (que contiene el nombre de usuario y la información del usuario dentro de la tarjeta) es algo que tiene.
¿Qué sucede si la tarjeta inteligente no contiene la información del usuario pero el nombre de usuario se comprueba en el servidor antes de que se use la tarjeta inteligente?
Si el nombre de usuario es secreto y no es razonablemente extentable de la tarjeta, diría que sí.
Si el nombre de usuario no es secreto, o al menos es fácil de adivinar porque se basa en algo que no es secreto como su nombre, no debe considerarse un "factor" para la autenticación.
Si el nombre de usuario es fácilmente recuperable de la tarjeta, no tenemos factores independientes, que es lo que realmente necesitamos al hablar de la autenticación multifactor.
¿El nombre de usuario se cuenta como factor único, algo que sabes?
Un nombre de usuario no es un factor de autenticación, se usa un nombre de usuario para la identificación. Para probar lo que dice ser, usted autentica su "identidad" contra un sistema al proporcionar algo que usted y solo usted sabe, algo secreto.
¿Qué pasa si la tarjeta inteligente no contiene la información del usuario, pero ¿Se verifica el nombre de usuario en el servidor antes de usar la tarjeta inteligente?
Este es un flujo de trabajo de autenticación estándar, algunos sistemas verifican primero el nombre de usuario y luego le piden al usuario la contraseña o le piden que use otro medio como tarjeta inteligente.
Los tres factores para la autenticación son, nuevamente:
Por supuesto, no puede usar ninguno de estos para la autenticación sin restricciones adicionales. Para usar cualquiera de estos para la autenticación, es importante que un adversario no pueda replicar el factor de autenticación .
En general, los nombres se pueden adivinar fácilmente, lo que significa que un nombre de usuario no es adecuado para usar como un factor de autenticación.
Del mismo modo, tener una tarjeta inteligente es de poca utilidad si un adversario puede simplemente extraer cualquier información secreta que esté almacenada en la tarjeta.
La biometría no es muy útil si se puede engañar a la autenticación aceptando una imagen o una huella digital Gummi.
Lea otras preguntas en las etiquetas passwords authentication smartcard