2 Factor Authentication (2FA) voegt een tweede, onafhankelijk identiteitsbewijs toe aan het inlogproces, zodat een gestolen of geraden wachtwoord alleen niet genoeg is om toegang te krijgen tot een account. De eerste factor is iets wat de gebruiker weet, het wachtwoord; de tweede factor is iets wat de gebruiker heeft of genereert, zoals een roterende zescijferige code uit een authenticator-app, een hardware security key, of een eenmalige code die per sms wordt verstuurd.
Bij crypto exchanges beveiligt 2FA doorgaans logins, withdrawals en wijzigingen aan API-keys, omdat deze platforms een aantrekkelijk doelwit zijn voor aanvallers en, anders dan een bank, weinig verhaal bieden zodra funds een wallet hebben verlaten. De meeste exchanges gebruiken Time-based One-Time Password (TOTP) codes, gegenereerd door apps zoals Google Authenticator, Authy of 2FAS, die elke 30 seconden vernieuwen en lokaal op het toestel worden berekend in plaats van over het netwerk verstuurd.
2FA via sms is de zwakste veelgebruikte optie, omdat het afhankelijk is van het netwerk van de mobiele provider en omzeild kan worden via een SIM swap, waarbij een aanvaller een provider overtuigt om het telefoonnummer van het slachtoffer over te zetten naar een SIM-kaart die hij zelf beheert. TOTP-apps dichten dat gat, maar blijven kwetsbaar voor real-time phishing-pagina's die een geldige code doorsturen binnen de korte geldigheidsduur. Daarom raadt de beveiligingspraktijk steeds vaker FIDO2/WebAuthn hardware keys aan, die de login cryptografisch koppelen aan het echte domein en niet door een nepwebsite kunnen worden hergebruikt.
Toegang verliezen tot een 2FA-apparaat zonder opgeslagen backup-codes kan een gebruiker permanent buitensluiten van een exchange-account, dus vereisen de meeste platforms tijdens de setup het registreren van backup-codes of een tweede methode.