2FA se nepožaduje
Mnoho služeb včetně populárních webových stránek, které umožňují používat 2FA, ji nevyžadují, což ale samotný účel zavedení 2FA sabotuje.
Většina uživatelů si totiž myslí, že jakmile se zapne 2FA, musí se použít vždy, ale to často není pravda. Větší část webů umožňuje uživatelům zadat své heslo, odpovědět na otázky týkající se resetování hesla nebo zavolat na technickou podporu, aby obešli požadavek 2FA.
Na webech, které umožňují uživatelům přihlásit se pomocí několika metod včetně 2FA, ale nedovolují oprávněnému uživateli vynucovat 2FA, se hackeři začnou zabývat sociálním inženýrstvím zaměřeným na technickou podporu těchto webů s cílem dosáhnout resetu hesla uživatele. Anebo hackeři prostě zjistí odpovědi na otázky týkající se resetování hesla.
Co se týče samotné problematiky resetování hesla, je vždy mnohem snadnější odhadnout přednastavenou odpověď než heslo, které mají chránit. Otázky týkající se resetování hesla se často považují za pohromu oboru autentizace.
Hackeři se také mohou pokusit získat heslo uživatele pomocí sociálního inženýrství a poté použít heslo namísto 2FA. Když web s povolenou technologií 2FA nevyžaduje takové přihlášení ve všech případech, opět to sabotuje účel existence 2FA.
Pokud prostředí vaší firmy využívá technologii 2FA, ale není zapnutá na všech stránkách a službách, znamená to, že máte i přihlašovací jméno a heslo, což významným způsobem degraduje 2FA, minimálně na stránkách, které akceptují přihlášení bez 2FA.