어떤 애플리케이션들은 인증을 채택해서 또 다른 사용자명과 패스워드를 묻기 때문에 사용자들은 패스워드를 잘 기억하고 있어야 한다. 그런데 사용자들은 그것들을 모두 어떻게 기억할까? 그들은 프스트잇에 패스워드를 적어서 키보드 밑이나 모니터 옆에 붙여 놓곤 하는데, 그것은 분명히 중대한 보안 위험을 초래할 수 있다.
싱글사인 온 시스템은 그러한 사용자들의 패스워드 관리 문제를 줄일 수는 있지만 비싸며 활용이 복잡하고 근본적인 문제를 해결해 주지는 못한다. 이 방법은 패스워드를 훔쳐보거나 키 입력 기록키나 기타 여러 기술들에 의해 도용되기 쉽다. 그러나 보안 토큰(security token)은 사용자명과 패스워드를 입력하는 방식을 대신하거나 그 방식과 함께 이용될 수도 있다.
인증을 두 배로 강화
인증 토큰은 두 가지 레벨로 가능하다. 첫째는 인증된 사용자만 토큰과 그것을 열 수 있는 패스워드를 갖게 하는 것이다. 둘째는, 토큰으로 하여금 키 제작, 키 협상 및 인증 같은 암호화 기능들을 수행하게 함으로써 공유하는 비밀이나 공개/비밀 키의 조합 같은 보안이 필요한 데이터를 토큰으로 보호할 수 있게 하는 것이다.
보안 토큰과 PIN/패스워드의 두 가지 요소를 모두 이용하는 인증은 사용자가 자신이 누구라고 말하는 한번의 패스워드 구조에 비해 두 배의 보증을 제공한다. 즉 패스워드만을 사용하는 인증은 사용하기가 쉽지만 그만큼 도용되기도 쉽다는 단점이 있다.
또한 그 방법은 상용자명과 패스워드의 조합을 사용하는 사람이 정당한 사용자가 아니라는 것을 제대로 보증하지 못한다. 왜냐하면 패스워드가 도용됐더라도 사용자가 그것을 알지 못할 수도 있기 때문이다.
두 가지 요소를 이용하는 인증에서는 사용자가 토큰과 PIN/패스워드를 모두 가져야 로그온을 할 수 있다. 따라서 사용자는 토큰을 도둑맞았다거나 잃어버린다해도 그 사실을 금방 알 수 있게 된다. 이처럼 보안 계획에다 두번째 층으로서 토큰을 추가하게 되면 공격당할 위험을 줄일 수 있다.
하지만 두 가지 요소의 인증 구조가 완전성을 가질려면 토큰과 PIN을 사용자들이 얼마나 책임있게 다루느냐가 관건이다. 사용자들은 인증 토큰을 잃어버리지 않아야 하며 PIN을 주기적으로 변경해야 하고 토큰을 분실했을 때에는 관련자에게 즉시 알려야 한다.