Om te garanderen dat een gebruiker ook daadwerkelijk degene is die hij zegt te zijn, moet er naast een login (bijvoorbeeld op uw e-mail account) ook een tweede additionele manier van aanmelden bestaan. Twee factor authenticatie (2FA) houdt in dat ten minste twee verificatiemethoden moeten gebruikt van de drie mogelijke methoden: op basis van iets wat iemand weet (bijvoorbeeld een wachtwoord), op basis van iets wat iemand heeft (bijvoorbeeld een pasje of een token) en op basis van iets wat iemand is (met name biometrie). Ook moet de wijze/de techniek van authenticatie van een hoog niveau zijn waarvoor deze bedoelt is.
Bij veel professionele organisaties wordt dit al standaard toegepast. Het is een van de maatregelen vanuit de NEN7510, organisaties gebruiken al UZI-passen, advocaten-passen, certificaten of andere inlogpassen. Daarnaast is dit ook standaard functionaliteit in Microsoft Azure AD (Active Directory) welke door veel organisaties wordt gebruikt. Bastion 365 maakt gewoon gebruik van de reeds ingestelde loginmethode, dus medewerkers hoeven niet apart in te loggen maar doen dit net zoals ze gewend zijn zoals bij iedere andere applicatie. Bastion 365 kan alle inlogmethoden gebruiken die geïntegreerd zijn met het Microsoft platform.
Voor cliënten/privé personen is dit anders, zij maken meestal gebruik van openbare maildomeinen zoals @gmail.com / outlook.com / live.com / icloud.com. Iedereen kan hier een emailadres aanmaken en aan het adres zelf is nooit te achterhalen bij welke persoon dit hoort. Als er privacy gevoelige informatie gestuurd wordt naar deze adressen moet er ook MFA worden gebruikt. Op dit moment zijn SMS en authenticators de meest voor hand liggende opties aangezien deze in voor iedereen beschikbaar zijn. Via deze kanalen worden dan One Time Passwords (OTP) verstuurd wat simpelweg een code inhoud, en samen met de unieke link via de email kunnen ze het bericht veilig openen.