De meeste 2FA methodes bieden geen 'verifier impersonation resistence' en zijn ook niet hardware gebonden. Security keys, gebaseerd op de FIDO2/WebAuthn standaard, zijn dat wel. Zie ook het verschil tussen AAL1, AAL2 en AAL3 op
https://pages.nist.gov/800-63-3/sp800-63b.html#sec4. Alleen AAL3 biedt bescherming tegen dit soort aanvallen. De meeste 2FA methodes zijn slechts AAL2.