Voici quelques définitions qui vous permettront de mieux appréhender les différents niveaux de sécurité :

• L'Identification consiste à établir l'identité de l'utilisateur. Cela permet répondre à la question : "Qui êtes-vous ?". L'utilisateur utilise un identifiant ("Nom d'utilisateur" ou "Login") qui l'identifie et qui lui est attribué individuellement. 

• L'Autorisation : consiste à laisser l'accès ou pas à une donnée, que ce soit avec des tokens, avec des URLs cachées, bref ce que vous voulez en fonction de la criticité de la donnée en question. Aucune notion d'identité derrière ça, du moment qu'on a les clés on laisse passer.

• L'Authentification permet à l'utilisateur d'apporter la preuve de son identité. Cela permet de répondre à la question : "Êtes-vous réellement cette personne ?". L'utilisateur utilise un authentifiant que lui seul connait.

L'authentification forte c'est tout système permettant un accès informatique après une double vérification.

L'objectif est de pallier les faiblesses de l'authentification unique par mot de passe. En effet, les mots de passe peuvent être volés, forcés et posent un problème de mémorisation à l'utilisateur et de renouvellement à l'entreprise. S'ils restent en usage dans les environnements où l'impératif de sécurité est faible, grâce à leur rapport qualité / prix imbattable, ils montrent certaines limites dans des contextes à sécurité élevée.

L'authentification forte consiste donc à mixer différentes stratégies d'authentification : une carte magnétique et une identification par l'iris par exemple, ou un certificat électronique et un code alphanumérique affiché à l'écran. Ces informations sont ensuite mises en relation avec une solution de gestion des identités et des accès, elle-même en relation avec un annuaire ou un méta-annuaire de l'entreprise qui référence tous les utilisateurs du parc informatique ainsi que leurs droits.

En raison du coût de l'authentification forte, son usage reste aujourd'hui réservé aux grands comptes ou, plus généralement, aux secteurs critiques de l'industrie et des services (banque, énergie, défense, aéronautique, automobile, recherche scientifique). Elle se retrouve toutefois de plus en plus fréquemment utilisée par des entreprises de taille modeste qui souhaitent ouvrir leur système d'information à l'extérieur par des accès mobiles aux réseaux privés virtuels (VPN) de l'entreprise.