این به نوع 2FA و سیاست های ارائه دهندگان خدمات بستگی دارد. اگر 2FA کاملاً به یک وسیله فیزیکی اختصاصی (نشانه U2F یا مشابه آن) متصل باشد ، بایستی دور زدن مستقیم آن به نوعی غیرممکن باشد ، مگر اینکه مهاجمی این وسیله فیزیکی را در اختیار داشته باشد. در عوض اگر 2FA فقط با استفاده از یک برنامه روی تلفن همراه پیاده سازی شود ، ممکن است مهاجم علاوه بر این سعی کند خود تلفن را هدف قرار دهد. اگر 2FA مبتنی بر پیامک باشد ، بردارهای حمله حتی بیشتری وجود دارند.

همچنین این امر بستگی دارد که عامل دوم به دامنه ای که بازدید می کنید (مانند WebAuthn) محدود است یا نه (اس ام اس و دیگران). در مورد دوم ، ممکن است مهاجم شما را به وارد کردن نشانه به جای سایت فیشینگ شبیه به جای واقعی ، فریب دهد.

و سرانجام بستگی به این دارد که در صورت از دست رفتن 2FA از دست رفته ، چه فرآیندهایی در ارائه دهنده خدمات انجام می شود. . به عنوان مثال اگر فقط برخی از سؤالات امنیتی (اغلب آسان برای حدس زدن) وجود دارد که می توانید برای غیرفعال کردن 2FA یا تغییر شماره تلفن برای SMS 2FA پاسخ دهید ، در این صورت اگر مشتری هنوز 2FA اصلی را داشته باشد ، کمکی نمی کند.