“Autenticación fuerte”: autenticación multifactor frente a la autenticación múltiple del mismo factor

Si el contrato exige una "autenticación fuerte", creo que está abierto a interpretación. También depende del tipo de información que está protegiendo y de cómo se accede a esa información. Mi banco, por ejemplo, no requiere autenticación de dos factores para acceder a mi dinero, solo una contraseña segura.

Para responder a su pregunta, no creo que requerir dos conjuntos de nombres de usuario y contraseñas sea más seguro que solo uno. El beneficio de la autenticación de dos factores es que si un factor se ve comprometido, el otro probablemente no lo sea. Tener dos nombres de usuario y contraseñas no tiene sentido si el escritorio de un usuario está comprometido.

Dejando a un lado el lenguaje del contrato y tratando con la pregunta como se indica, no, lo que ha descrito no es una autenticación "fuerte", sino dos veces la autenticación. Si el diseño de ambos es deficiente, unirlos no los hace más fuertes.

Puede justificar que se lo considere un "factor 2", pero tendría que sobrevivir al riesgo de que un experto piense que realmente no sabe lo que está haciendo y que pierde confianza con ellos.

Se puede lograr una autenticación sólida con su arquitectura específica con un mecanismo de autenticación fuerte. Canal cifrado, contraseñas con hash y saladas del lado del servidor, políticas de bloqueo y metacolíticas que se ocupan de la autorización adecuada de cuentas y revisiones / supervisión de eventos de autenticación. Lo más probable es que estés haciendo todas esas cosas de todos modos.