Le MFA renforce l'authentification en combinant quelque chose que l'on sait (mot de passe), que l'on a (smartphone, token) et/ou que l'on est (biométrie). Même si le mot de passe est compromis, l'attaquant ne peut pas accéder au compte sans le second facteur. Les solutions incluent : SMS OTP (faible), applications TOTP (Google Authenticator), clés FIDO2/WebAuthn (fort). Le MFA est désormais une exigence de nombreux cadres réglementaires.