ตามผู้สนับสนุน การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่างสามารถลดจำนวนการปลอมบุคคลและการฉ้อฉลทางออนไลน์อื่นๆ เพราะรหัสผ่านของเหยื่ออย่างเดียวไม่พอให้ผู้ร้ายสามารถเชิดบัญชีได้ไปแต่วิธีการพิสูจน์ตัวจริงเช่นนี้หลายอย่างก็ยังมีปัญหาด้านฟิชชิง[32]หรือการโจมตีแบบอื่นๆ รวมทั้งม้าโทรจันที่เป็นมัลแวร์ในบราวเซอร์ และการแทรกตัวระหว่างกลางแบบ man-in-the-middle attack[33]การพิสูจน์ตัวจริงด้วยปัจจัยสองอย่าง (2FA) สำหรับเว็บแอปมีปัญหาด้านฟิชชิงเป็นพิเศษ โดยเฉพาะเมื่อส่งโค๊ดทางเอสเอ็มเอสหรืออีเมล ดังนั้น ผู้เชี่ยวชาญจึงแนะนำไม่ให้ผู้ใช้แชร์โค๊ดที่ได้รับกับใครๆ[34]โดยผู้ให้บริการยังอาจระบุข้อความไม่ให้แชร์โค๊ดไว้ในอีเมลและเอสเอ็มเอสที่ส่งโค๊ดด้วย[35]

การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่างอาจไม่ได้ผล[36]ต่อวิธีการฉ้อฉลที่ใช้ในปัจจุบันรวมทั้งเครื่องสกิมเมอร์ที่ตู้เอทีเอ็ม ฟิชชิง และมัลแวร์[37]

ในเดือนพฤษภาคม บริษัทมือถือเยอรมัน O2 Telefónica รายงานวาคนร้ายไซเบอร์ได้ใช้จุดอ่อนของโพรโทรคอลระบบโทรศัพท์ SS7 เพื่อหลีกเลี่ยงวิธีการพิสูจน์ตัวด้วยปัจจัยสองอย่างซึ่งรวมข้อความเอสเอ็มเอส แล้วถอนเงินบัญชีธนาคารของผู้ใช้ได้โดยต้องมีการตั้งมัลแวร์ม้าโทรจันบนคอมของผู้ใช้เพื่อขโมยข้อมูลเข้าบัญชีธนาคารและเบอร์โทรศัพท์ของผู้ใช้ก่อนแล้วซื้อบริการผู้ให้บริการโทรศัพท์ปลอม เปลี่ยนให้ส่งข้อความไปยังมือถือของตนในที่สุดแล้ว ก็จะลงชื่อเข้าใช้บัญชีธนาคารของผู้ใช้ออน์ไลน์ได้ แล้วโอนเงินไปยังบัญชีของตนเพราะรหัสใช้ครั้งเดียวได้ส่งไปยังมือถือของคนร้าย จึงสามารถลงชื่อเข้าบัญชีและโอนเงินได้[38]

ปัญหาเบื่อเอ็มเอฟเอ

กลวิธีหนึ่งในการแฮ็กระบบเอ็มเอฟเอที่เพิ่มขึ้นเรื่อยๆ ในปัจจุบันก็คือ การส่งคำขอให้ยอมรับการพิสูจน์ตัวจริงไปซ้ำๆ จนกระทั่งผู้ใช้ทนไม่ได้แล้วยอมรับ[39]