Hoy en día el sistema de autenticación se ha desarrollado de una forma robusta permitiendo agregar ciertos controles de seguridad que garanticen que la autenticación del usuario es legítima. Existen un sin número de maneras de crear un sistema para autenticar a los usuarios utilizando las mejores prácticas. También, el uso de doble factor de autenticación es un uso requerido hoy en día por el simple hecho que podemos proteger la cuenta que de ataques de ingeniería social y a la vez es una manera de validar que la persona que se autentica es la persona que dice que es. Este doble factor de autenticación no es solo un simple token que recibes por SMS, código de un solo uso, clic a un enlace recibido desde un correo; sino que es un método que al momento de un usuario autenticarse al sistema pueda evidenciar que es la persona que accede con las credenciales válidas.
Unas credenciales hoy en día corren un riesgo algo que puedan ser comprometidas por ser víctima de un ataque de phishing, servicios terceros fueron comprometido y hasta por el simple hecho que las credenciales del usuario son compartidas por el simple hecho de no tener concientización en el mundo de seguridad de la información. Es por esto mismos hechos que se deben de utilizar controles cibernéticos. También, es importante de entender que se deben implementar los controles de seguridad de manera correcta, sino un atacante pudiera lograr una evasión de controles de autenticación. Aunque no solo se debe tomar en cuenta al momento de implementar doble factor autenticación; esto se debe de aplicar en la lógica del proceso de autenticación.
Al final, si los controles de seguridad de doble factor de autenticación y la lógica de la manera que las credenciales son validadas utilizan las mejores prácticas junto a una auditoria podemos decir que el sistema de autenticación se encuentra fortalecido. Estos tipos de implementación correcta junto a una buena concientización de la seguridad de la información podemos reducir el impacto al momento si unas credenciales sean comprometidas por un phishing o por ser comprometida por un servicio tercero que fue ya comprometido.