La autenticación fuerte generalmente se considera un método multifactorial para confirmar la identidad de una persona que busca acceder a la información o ingresar a un área restringida. Los factores para verificar la identidad de un individuo son algo que la persona sabe, algo que la persona tiene y algo físicamente particular para esa persona. Un sistema que requiere dos de los tres factores es un sistema de autenticación de dos factores. Este es el nivel mínimo de verificación necesario para ser considerado autenticación fuerte.

El primero de estos factores de identificación, algo que la persona sabe, es un elemento de información presumiblemente secreto. Puede ser una contraseña o un número de identificación personal (PIN). El segundo factor, algo que tiene la persona, es un elemento único, como un documento de identidad (ID), pasaporte o token de hardware. El tercer factor es una característica de identificación física, como una huella digital o un escaneo retiniano. Una implementación común de autenticación fuerte usando dos de estos factores es el uso de un número PIN con una tarjeta bancaria.

Múltiples desafíos al mismo factor no hacen nada para mejorar la verificación y no se consideran una autenticación fuerte. Requerir la entrada de un nombre de usuario, contraseña y cualquier otra cantidad de información que un individuo pueda conocer es un desafío para un solo factor. Lo mismo sería cierto para evaluar múltiples identificadores biométricos para un individuo. La seguridad de un sistema se hace más difícil de comprometer solo por los desafíos a dos o los tres tipos de factores de verificación de identidad.

El control de acceso a la computadora a menudo implica el uso de métodos de autenticación fuertes. El procedimiento común es autenticar la identidad del usuario que busca acceso y luego otorgar privilegios previamente asignados a ese usuario. El acceso a computadoras corporativas o incluso personales puede implicar una contraseña asignada junto con una tarjeta inteligente o el uso de un dispositivo biométrico. Después de que la identidad se haya verificado satisfactoriamente, el usuario aún puede estar sujeto a restricciones establecidas por el administrador del sistema. La autenticación no implica necesariamente autorización.

En general, se considera imposible verificar la identidad de un usuario con total certeza. La confiabilidad de un sistema de autenticación es a menudo una compensación entre seguridad y facilidad de uso o restricciones económicas. El uso exitoso de la autenticación fuerte está directamente relacionado con la confiabilidad de los factores de identificación involucrados. Las empresas que siguen una administración de contraseñas laxa corren el riesgo de comprometer una etapa de autenticación. Lo mismo es cierto para un individuo si él o ella usa la misma contraseña en todas las interacciones.