Varios escenarios de autenticación utilizan métodos de encriptación de clave pública (criptografía de clave pública). Por ejemplo, un usuario tiene una tarjeta inteligente, que lleva la correspondiente clave pública y una clave privada. Durante el proceso de autenticación de usuario, el sistema envía un desafío al azar. El usuario firma el reto con su clave privada y envía el resultado. El sistema verifica la firma con una clave pública. De esta manera, el sistema puede verificar que el usuario posee la clave privada correcta sin la necesidad de aceptar su llave. En lugar de almacenar la clave pública en un archivo en el sistema remoto, la tarjeta inteligente puede presentar un desafío firmado en el certificado de clave pública, firmado por un tercero. Esto se llama infraestructura de clave pública (PKI) estándar y se basa en las especificaciones del UIT-T.
La Fig. 4.4 muestra las entidades involucradas en el proceso de autenticación. En cada paso de este proceso, un potencial atacante puede obtener acceso a la clave de autenticación.
La zona más frágil es el dispositivo de entrada y el usuario. Si la autenticación se basa en el conocimiento (contraseñas, PIN, etc.), el usuario tiene que recordar la clave secreta. Recordar contraseñas es difícil para muchas personas, a menudo comparten su contraseña con alguien o la escriben en un papel en la oficina.
La seguridad no se puede resolver solamente con el hardware, ya que los usuarios son una parte del proceso de autenticación [10].