La autenticación multifactor, o MFA, es un control de inicio de sesión que requiere dos o más pruebas independientes de identidad antes de conceder el acceso. Estos factores suelen combinar algo que sabes, como una contraseña, con algo que tienes, como una aplicación autenticadora o una clave de hardware, o algo que eres, como una huella dactilar. El objetivo es hacer que las contraseñas robadas por sí solas no sirvan de nada.
La MFA es importante porque las contraseñas se exponen de forma rutinaria mediante phishing, malware, reutilización y relleno de credenciales. Cuando la MFA está habilitada, un atacante que conoce una contraseña aún necesita el segundo factor para entrar en la cuenta. En las defensas reales, la MFA se usa para el correo electrónico, las plataformas en la nube, las consolas de administración y las cuentas de alto valor de los usuarios. Los atacantes intentan eludirla con fatiga de notificaciones push, cookies de sesión robadas o kits de phishing en tiempo real, por lo que las implementaciones sólidas favorecen métodos resistentes al phishing, como las claves de seguridad o los códigos basados en aplicaciones, en lugar de depender solo de SMS.