Se recomienda la autenticación de 2 factores (2FA) para reducir el riesgo de que una cuenta se vea comprometida, ya que el atacante debe saber algo más que su contraseña. Existen muchas formas de implementar 2FA y algunas se consideran más débiles que otras (por ejemplo, SMS vs. Yubikey).
Los proveedores de servicios generalmente ofrecen opciones de recuperación para los usuarios en caso de que se pierda su segundo factor, reemplazando efectivamente un segundo factor por otro. ¿Pero no derrota esto alguna fuerza en el segundo factor original?