We hoeven niet ver te zoeken naar voorbeelden waar 2FA gefaald heeft.

Twitter-CEO Jack Dorsey werd in augustus 2019 gehackt en de onbeschofte berichten op zijn account waren geen goede reclame voor hun 2FA-beveiligingssysteem. Een maand later waren er berichten dat 23 miljoen YouTubers waren gehackt ondanks het gebruik van 2FA. Dit komt omdat de hackers een reverse proxytoolkit gebruikten om twee-factor authenticatiecodes te onderscheppen die via sms werden verzonden. Ook vaalde de 2FA systeem van de cryptocurrency uitwisseling Binance en verloor tientallen miljoenen.

Een van de meest gebruikte manieren om een 2FA systeem te hacken is door het uitvoeren van een sim-swap. Hier kan de hacker een aantal methoden gebruiken om de telefoonnummer van de gebruiker te wijzigen, zodat de volgende telefoontjes of berichten, bijvoorbeeld met een 2FA-code worden doorgestuurd naar het nieuwe nummer. Dat is een van de redenen waarom experts steeds meer op aandringen om af te stappen van sms- en telefoongebaseerde 2FA systemen.

Van sommige twee-factor authenticatiesystemen is ook bekend dat ze worden aangetast door malware Zelfs een authenticator-app die zoveel wordt gebruikt als GOogle Authenticator is niet perfect, in februari 2020 bleek een type op Android gebaseerde malware 2FA-codes te hebben gestolen. TrickBot-malware is een andere oplossing voor twee-factor authenticatie waarbij eenmalige codes worden onderschept die worden gebruikt door bank-apps, verzonden per sms en pushmeldingen.

Een andere manier waarop 2FA ook kan falen is dat een hacker zich voordoet als bijvoorbeeld de bank van de gebruiker, hier vraagt hij om de identiteit van het slachtoffer te bevestigen door de beveiligingscode te citeren die zojuist naar hem is verzonden.