A autentificação de dois fatores insere uma segunda verificação de identidade do usuário no momento do login, evitando o acesso às contas mesmo quando a senha é vazada. Ela pode ser um código de SMS, PIN, uma segunda senha, respostas a perguntas secretas, dispositivos físicos — como cartão de crédito ou drives USB de token — ou mesmo dados de biometria, como a digital ou leitor da íris. No geral, SMS deve ser evitado. Há risco de clonagem ou roubo de chips, e golpistas podem acessar as mensagens do aparelho com os códigos para fazer login.