Злоумышленникам сложно взломать аккаунт с включённой двухфакторной аутентификацией (2FA), потому что для входа в аккаунт недостаточно просто перехватить или подобрать пароль. 3 Также требуется код из другого источника, а коды в большинстве случаев являются одноразовыми. 3

Кроме того, даже зная данные для входа, злоумышленник не сможет зайти в аккаунт без доступа к устройству пользователя. 2 Например, если для авторизации используется аппаратный ключ, то одноразовые коды действительны только в течение короткого времени (30–60 секунд), и у злоумышленников есть ограниченное количество кодов, которые можно успеть перебрать, прежде чем они изменятся. 1

Однако у злоумышленников могут быть и способы обойти двухфакторную аутентификацию, например, с помощью фишинговых атак или перехвата cookie-файлов сеанса. 13