Двухфакторная аутентификация в мобильных приложениях работает следующим образом: 1

1. Сервис, в котором происходит аутентификация, и приложение-аутентификатор запоминают секретный ключ. 1 Он содержится в QR-коде, с помощью которого подключают аутентификацию для сервиса в приложении. 1
2. В дальнейшем на основе этого числа и текущего времени по одинаковому алгоритму генерируются одноразовые коды — одновременно и на стороне аутентификатора, и на стороне сервиса. 1
3. Пользователь вводит код, который сгенерировало приложение, и сервис сравнивает его с тем, что сгенерировал он сам. 1 Если коды совпадают, пользователя пускают в аккаунт, если нет — нет. 1

В качестве второго «ключа» при двухфакторной аутентификации могут использоваться данные биометрии или специальные программные токены, генерирующие одноразовые пароли. 2