Two-Factor Authentication Can Fail You, but You Can Make It More Secure

10.05.2025 01:30

Lifehacker.com

Two-factor authentication (2FA) is a great way to boost the security of your accounts. But even with that added layer of security, malicious actors are finding ways to break in. So-called adversary-in-the-middle attacks take advantage of weaker authentication methods to access accounts. Your two-factor and multi-factor authentication (MFA) may be weak, but, luckily, there's something you can do about it.

How multi-factor authentication works

MFA uses two or more checkpoints to confirm a user's identity for accessing an account or system. This is more secure than relying on just a username and password combination, especially given how easy many passwords are to crack, and how many have found their way onto the dark web. Passwords are often basic and repeated, so once a password has been compromised, it can be used to get into many accounts. That's why it's so important to use strong and unique passwords for each one of your accounts.

With MFA, a password isn't enough. From here, the user has to validate their login using at least one additional piece of evidence, ideally that only they have access to. This can be a knowledge factor (a PIN), a possession factor (a code from an authenticator app), or an identity factor (a fingerprint).

Note that while 2FA and MFA are often used interchangeably, they aren't necessarily the same thing. 2FA uses two factors to verify a user's login, such as a password plus a security question or SMS code. With 2FA, both factors can something the user knows, like their password and a PIN.

MFA requires at least two factors, and they must be independent: a combination of a knowledge factor like a password, plus a biometric ID or a secure authenticator like a security key or one-time password. Generally, the more authentication factors needed, the greater the account security. But if all factors can be found on the same device, security is at risk if that device is hacked, lost, or stolen.

MFA can still be compromised

While having MFA enabled on your accounts can make you feel secure, some MFA methods can be compromised almost as easily as your usernames and passwords.

As Ars Technica reports, certain knowledge and possession factors are themselves susceptible to phishing. Attacks known as adversary-in-the-middle target authentication codes, such as those sent via SMS and email, as well as time-based one-time passwords from authenticator apps, allowing hackers to access your accounts through factors you've unknowingly handed them.

The attack works as follows: Bad actors send you a message saying that one of your accounts—Google, for example—has been compromised, with a link to log in and lock it down. The link looks real, as does the page you land on, but it is actually a phishing link connected to a proxy server. The server forwards the credentials you enter to the real Google site, which triggers a legitimate MFA request (and if you've set up MFA on your account, there's no reason to believe this is suspicious). But when you enter the authentication code on the phishing site or approve the push notification, you've inadvertently given the hacker access to your account.

Adversary-in-the-middle is even easier to carry out thanks to phishing-as-a-service toolkits available in online forums.

How to maximize MFA security

To get the most out of MFA, consider switching from factors like SMS codes and push notifications to an authentication method that is more resistant to phishing. The best option is MFA based on WebAuthn credentials (biometrics or passkeys) that are stored on your device hardware or a physical security key like Yubikey. Authentication works only on the real URL and on or in proximity to the device, so adversary-in-the-middle attacks are nearly impossible.

In addition to switching up your MFA method, you should also be wary of the usual phishing red flags. Like many phishing schemes, MFA attacks prey on the user's emotions or anxiety about their account being compromised and the sense of urgency to resolve the problem. Never click links in messages from unknown senders, and don't react to supposed security issues without checking their legitimacy first.

Moscow.media

Частные объявления сегодня

Rss.plus

Все новости за 24 часа

Life24.pro

Внимание на щитовидку. Мясников пояснил, когда статины могут нанести вред

Аранжировка Песен. Аранжировка Музыки. Создание Аранжировок.

Виктория Бекхэм убита горем из-за обострившихся отношений с сыном Бруклином и невесткой Николой Пельтц

В ЦОМиД прошла конференция по лабораторной диагностике с представителями ГК «ДИАКОН»

Today24.pro

How Greg Abel may run Berkshire Hathaway differently than Warren Buffett

Exploring the Robotic Evolution of Irontech Dolls

‘I want what the fans want’: Eubank likely to rematch Benn before end of the year

OpenAI ditches plan to become a for-profit company

News24.pro

Утечка из Белого дома: хакеры взломали Signal через дыру в «сквозном» шифровании

В Красноярском крае на ряде автодорог продлены весенние ограничения для большегрузов

Петербургский блокадный трамвай. С Днём Победы!

В BelkaCar предложили маршруты на вторые майские праздники

Game24.pro

ARPG Infinite Dreams стала доступна в Азии на iOS и Android

Nvidia announces RTX 5060 release date of May 19 for both the $299 desktop GPU and $1,099 gaming laptops

Разработчики FIFA Rivals намекнули на примерную дату релиза

Death Stranding was all about connection, but after Covid-era metaverse hype, Kojima says that 'maybe it's not such a good thing to connect so much'

Ua24.pro

Реклама на вулицях: флаєри, розклейка, доставка під двері

Доставка квітів Кам’янське від квіткового магазину PATIO – краса, яку легко подарувати

Russia24.pro

L'AntiDiplomatico: участие Китая в параде говорит об укреплении связей с РФ

Фицо хотел добраться до РФ на машине из-за запрета на пролет над Прибалтикой

«Катюша» в миллион голосов – флешмоб к юбилею Победы

Искусство на службе добра: Ростов-на-Дону принимает благотворительный концерт «Культура в помощь Донбассу»

Другие проекты от SMI24.net

News-life

Клиника Маршака - площадка для решения глобальных проблем зависимости: визит экспертов из ОАЭ

Мадуро высоко оценил парад ко Дню Победы в Москве

«Сокровища Даурии»: Забайкальцы и гости региона смогут побывать на старинных и мистических монгольских городищах

От генералов до майоров: бившиеся под Курском корейцы встретились с Путиным

Ru24.net

В Гидрометцентре спрогнозировали облачную погоду в Москве 10 мая

Сколько парковочных мест положено многоквартирному дому? Эксперт разъяснил, как это выяснить

Филиппо высмеял Макрона и воображаемых друзей президента Франции

Путин и Вучич дали старт переговорам о новом газовом соглашении

News.tennis

Азаренко проиграла в 1/32 финала турнира WTA-1000 в Риме

Сафиуллин выбыл из ATP в Риме: проигрыш Бублику за 1 час 38 минут

Кудерметова пробилась в третий круг турнира в Риме

Потапова одержала волевую победу над Ястремской на старте турнира WTA в Риме

29ru.net

Видео салюта в Москве в честь 80-летия Победы

Лавров поддержал независимую политику Фицо и заявил, что Россия любуется ей

Фицо: Словакия готова наложить вето на отказ ЕС от импорта энергоресурсов России

На Земле 10 мая будет сильная магнитная буря: что делать метеопатам?

Музыкальные новости

Poisk-music.ru

Продвижение Яндекс музыка. Продвижение трека в Яндекс музыке.

Каряка – главный тренер СКА Басты

Спивакова отстранили от фестиваля во Франции из-за национальной принадлежности

Менеджер Песни. Менеджер Релиза Песни.

Ria.city

L'AntiDiplomatico: участие Китая в параде говорит об укреплении связей с РФ

Фицо хотел добраться до РФ на машине из-за запрета на пролет над Прибалтикой

Искусство на службе добра: Ростов-на-Дону принимает благотворительный концерт «Культура в помощь Донбассу»

Культурная миссия России в Италии: Фестиваль «Поющий май» к 80-летию Победы

Rss.plus

Басков рассказал, что шесть часов не может покинуть самолет в Петербурге

Желдорреммаш внедряет терминалы сбора данных

Клиника Маршака - площадка для решения глобальных проблем зависимости: визит экспертов из ОАЭ

Александр Цыпкин с программой «Гуднайт, Америка, О!»

Auto.russia24.pro

В столице сняты основные ограничения дорожного движения из-за парада Победы

В Волгограде завершился международный автопробег «По дорогам Победы»

Не только Hugo Boss: какие бренды во время Второй мировой помогали нацистам

На территории Кремля в Москве образовалась самая большая парковка автомобилей «Аурус»

Putin.russia24.pro

Путин: связи РФ и Словакии были заморожены из-за прежнего руководства Братиславы

Фицо хотел добраться до РФ на машине из-за запрета на пролет над Прибалтикой

Путин признал героизм корейских военных на параде в Москве

Вучич заявил, что сдержал данное Путину слово быть в Москве 9 мая

Health.russia24.pro

В соцсетях Китая завирусились полицейские и росгвардейцы на репетиции парада

Невролог объяснил способы отложить развитие деменции

Шутка длиною в жизнь: секрет долголетия Петросяна в мистическом договоре с Высшими силами?

Участники проекта «Московское долголетие» поделились воспоминаниями о войне и праздновании Победы

Zelensky.russia24.pro

«Киев будет наш»: россияне закошмарили Зеленского в День Победы

Sport.russia24.pro

«Краснодар» получает шанс досрочно завоевать чемпионский титул

Черчесов о Дне Победы: «Главы государств, приехавшие в Москву, прибыли сюда по зову сердца. Я отложил все дела, чтобы возложить цветы»

Сообщения СМИ: «Байер» ищет замену Алонсо, рассматривая Фабрегаса

ЦСКА и "Краснодар": чей шанс на победу выше в московской битве?

Lukashenko.russia24.pro

Лукашенко: ЕС превратился в тоталитарный блок с реваншистскими настроениями

Лукашенко: Евросоюз превращает Польшу и Прибалтику в плацдарм НАТО

Лукашенко: ЕС стал тоталитарным военным блоком, который жаждет реванша

Лукашенко призвал союзников сделать все, чтобы не допустить «новой мировой бойни»

Person.russian.city

Сергей Собянин на Красной площади: 80 лет со дня Победы в ВОВ отметили парадом

Собянин назвал наследие фронтового поколения главным оружием России

«Вечная слава защитникам Родины!» — Собянин поздравил москвичей с Днем Победы

Собянин поздравил москвичей: наследие поколения — главное оружие России

Ecology.russia24.pro

"Тепла в мае не ждите": Вильфанд ошарашил россиян обновленным прогнозом

В Волгограде завершился международный автопробег «По дорогам Победы»

29ru.net

Макрон, Мерц, Стармер и Туск угрожают России за неприятие условий перемирия

В ЦБ сообщили неприятную новость россиянам с рублевыми сбережениями: хорошие времена уже кончились

«Солнце» и «Матрешка»: какие праздничные салюты могли наблюдать жители Москвы

На Земле 10 мая будет сильная магнитная буря: что делать метеопатам?

Severodvinsk.ws

После салюта: какие автобусы отвезут архангелогородцев домой 9 мая?

Хоккей без сна: команды Поморья рвутся к победе на Фестивале Ночной лиги в Сочи

Архангельск зажжет 1418 огней Победы: на набережной пройдет трогательная акция «Река Памяти»

Проезд исторической техники и концертная программа: администрация Архангельска анонсировала расписание праздничных мероприятий 9 мая

Sevpoisk.ru

Литературно-музыкальная композиция «Этот день мы приближали, как могли…».

Вечер-аккорд «Нет другой дороги, как музыка…»

Проект "Факел победы"

Час памяти «Детство, опалённое войной».

103news.com

Лавров поддержал независимую политику Фицо и заявил, что Россия любуется ей

«Высоко ценим»: Путин поблагодарил Вучича за приезд в Москву на День Победы

На Земле 10 мая будет сильная магнитная буря: что делать метеопатам?

Политик Филиппо высмеял Макрона, помахавшего воображаемым друзьям 9 мая

Агрегатор новостей 24СМИ