Několik autentifikačních scénářů využívá metodu šifrování veřejného klíče (public key cryptography). Například uživatel vlastní tzv. smart kartu, která je nositelem veřejného klíče a odpovídajícího soukromého klíče (private key). Na autentifikaci uživatele posílá systém náhodnou výzvu (challenge). Uživatel podepíše výzvu svým soukromým klíčem a posílá výsledek systému, který ověří podpis veřejným klíčem. Tímto způsobem dokáže systém verifikovat, zda je uživatel držitelem správného soukromého klíče a to bez potřeby přijmout tento klíč. Namísto potřeby ukládání veřejného klíče do soboru na vzdáleném systému dokáže smart karta předložit podepsanou výzvu a certifikát veřejného klíče, který byl podepsaný třetí stranou. V tomto případě jde o tzv. PKI (Public Key Infrastructure), normu vycházející ze specifikací ITU-T.
Jednou z možností autentifikačních systémů založených na PKI je, že uživatel musí při použití smart karty nejprve autentifikovat sebe sama do lokálního systému (typicky program na počítači nebo mobilním zařízení) obvykle s použitím hesla a až následně se smart karta použije na autentifikaci vzdáleného systému, prostřednictvím PKI. Vzdálený systém se spoléhá na to, že smart karta je spolehlivá. Věří prohlášení smart karty, že subjekt byl náležitě autentifikovaný. Jde o příklad tranzitivní důvěry.
Obr. 4.4 znázorňuje entity zahrnuté v autentifikačním procesu. V každém kroku tohoto procesu dokáže potenciální útočník získat přístup k autentifikačnímu klíči.
Oblastí zranitelnosti je však vstupní mechanizmus a uživatel. V případě autentifikace založené na znalosti (hesla, PINu…) si musí uživatelé pamatovat tajemství, což některým lidem jednoduše nevyhovuje nebo je to pro ně složité. Toto tajemství lidé obvykle vysloví někdy nechtíc nebo si ho zapíší, případně ho např. blízký rodinný příslušník zjistí, pokud není dostatečně silné. Uživatelé ale mnohokrát svoje heslo vědomě sdílejí s někým, koho dobře znají, jelikož si neuvědomují konsekvence z toho plynoucí. Další z možností je zachycení hesla na vstupu, způsobem man-in-the-middle, pokud nejde o zabezpečenou přenosovou cestu. Man in the middle (zkratka MITM, z angličtiny „člověk uprostřed“ nebo „člověk mezi“) patří mezi nejznámější problémy v informatice a kryptografii. Jeho podstatou je snaha útočníka odposlechnout komunikaci mezi účastníky tak, že se stane aktívním prostředníkem. V dnešní době není podstatné, aby byl fyzicky přítomný mezi dvěma komunikujícími body, protože síťový přenos se dá lekce přesměrovat.
Bezpečnost není možné řešit výhradně jen technickým způsobem, vzhledem k tomu, že uživatelé tvoří její integrální část [10].