Après avoir entré un mot de passe, l'utilisateur doit valider un second facteur d'authentification. Par exemple, il pourrait recevoir un code temporaire sur son téléphone ou scanner son empreinte digitale pour confirmer son identité. Les facteurs sont généralement choisis de manière à rendre chaque couche indépendante et difficile à contourner.