パスワードは、理論上は個々のユーザーのみが知っている秘密の情報のはずです。これが、要素1の「Something you know」の一例です。他にも、秘密の質
問と答えの組み合わせなども要素1に該当します。しかしこれらの情報は、推測されたり、予想されたり、漏えいしたりすることから、第三者に不正利用される恐れがあります。秘密の質問であっても、その質問と答えは固定化されるので、一度漏えいしてしまうと、何度でも利用されてしまいます。
要素2の「Something you have」は、ユーザーが持っている何かを用いる認証方法です。1分間に1度、画面に表示される値が変わるワンタイムパスワードのハードウェアトークンや、キャッシュカードなどに記載された乱数表などが例として挙げられます。要素1の利用に加え、こうした認証要素を併用している場合、物理的にトークンやカードを盗まれない限りは認証が侵害されず、要素1のみの利用に比べて堅牢になると言えます。しかし、利用やサポートのために、コストが高くなることが懸念されます。
最後の認証要素は、「Something you are」すなわちユーザー自身を示します。バイオメトリクス(生体)認証としてよく知られていますが、静脈認証や指紋認証、網膜認証などが挙げられます。要素2よりさらに高度かつ高価な認証形式で、不正利用はさらに困難になります。要素3を用いた認証は、Webアプリケーションなどではあまり使用されず、サーバルーム入室のためのセキュリティや、軍事施設のセキュリティなど、重要な物理セキュリティに利用されることが多くみられます。