Phisher haben jetzt erstmals praktisch vorgeführt, was Sicherheitsexperten lange vorausgesagt haben: Die Authentifizierung mittels Security-Tokens wurde ausgehebelt. Als Ausweg aus der Phishing-Misere priesen einige Hersteller die Zweifaktorauthentifizierung an. Damit sei ein statisches Passwort überflüssig und könne auch nicht mehr ausgespäht werden. Stattdessen erzeugt beispielsweise ein kleines Gerät alle sechzig Sekunden ein Verschlüsselungstoken in Form einer pseudozufälligen Zahl. Innerhalb einer Minute muss sich der Anwender mit dieser Zahl und einer weiteren, nur ihm bekannten PIN anmelden, sonst verfällt der Token.