Die für den Zugriff notwendigen Komponenten bzw. Faktoren können vielfältig sein. Die wichtigsten und am weitesten verbreiteten Faktoren für eine Zwei-Wege-Authentifizierung sind:
- PINs (Persönliche Identifikationsnummern)
- TANs (Transaktionsnummern)
- Biometrische Charakteristika (z. B. Fingerabdruck, Stimme oder Iris)
All diese Faktoren setzen für die Identifizierung einer berechtigten Person etwas voraus, das diese entweder weiß, besitzt oder das untrennbar mit ihr verbunden ist („Wissen“, „Haben“, „Sein“). Das Beispiel Bankautomat zeigt, dass im Alltag vorwiegend Tokens mit einem der anderen Faktoren kombiniert werden. Dieses Verfahren hat den entscheidenden Nachteil, dass auch berechtigte Personen das Token immer mit sich führen müssen – was in unachtsamen Momenten (also z. B. der Falscheingabe) dazu führen kann, dass sie trotzdem keinen Zugriff bekommen.
Aus diesem Grund werden für Zwei-Faktor-Authentifizierungen im WWW vermehrt Verfahren zur Identifizierung berechtigter Anwender verwendet, die ohne klassische Tokens auskommen oder zumindest das Verlustrisiko minimieren: In der Regel wird neben einem Passwort vom System ein automatischer Code generiert. Diesen bekommt der berechtigte Anwender auf sein Smartphone geschickt – entweder via SMS, Mail oder über eine spezielle Authenticator-App. So wird sichergestellt, dass nur die Person Zugang bekommt, die im Besitz dieses zusätzlichen Sicherheitscodes ist. Der Vorteil: Der Code ist nur einmal gültig und verliert nach einer bestimmten Zeit automatisch seine Gültigkeit.
Die Zwei-Faktor-Authentifizierung ohne Token oder Zugangskarte hat darüber hinaus den Vorteil, dass auch sekundäre Empfangsmethoden für den Sicherheitscode festgelegt werden können: Ist z. B. kein Zugriff auf die App möglich, lässt sich festlegen, dass alternativ eine SMS verschickt wird oder der berechtigte Anwender einen Anruf mit automatischer Durchsage des Codes bekommt.