El reglamento de la Ley establece que el responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer los procedimientos de identificación y autenticación necesarios para dichos accesos, es decir, disponer de mecanismos adecuados que impidan el acceso de usuarios no autorizados al sistema.

Se entiende por identificación al procedimiento que permite reconocer la identidad de un usuario (quién es) y autenticación al que permite comprobar dicha identidad (es quien dice ser). Por lo tanto el sistema deberá permitir leer los datos del usuario, compararlos con los almacenados en su base de datos y decidir si está o no autorizado para acceder.

Básicamente existen 3 tipos de técnicas/medios de autenticación de la identidad de un usuario y son las siguientes:

• Por alto que conoce (secreto): constraseña.
• Por algo que tiene: llaves.
• Por algo que es: huella dactilar.

Estas técnicas pueden usarse de forma individual o combinada según se precise mayor o menor efectividad en el mecanismo de seguridad implantado.

Es muy importante recordar que una autenticación con éxito sólo garantiza que se conoce “el secreto” pero no es capaz de diferenciar entre un usuario legítimo o no. Por ejemplo en el caso de usar contraseña, si esta ha sido comprometida por un intruso el sistema no sabrá en el momento de la autenticación si el que entra es el usuario realmente autorizado o no.