Sokan úgy gondolják, hogy egy kellően hosszú és bonyolult jelszóval már biztonságban tudhatják online fiókjaikat. Ez azonban csak a védelem egyik része. Egy adatszivárgás, megtévesztő bejelentkezési oldal vagy ellopott készülék után még az erős jelszó mellett is veszélybe kerülhetnek a személyes adataink. A hatékonyabb védelemhez az e-mail-címet, a jelszót és a többlépcsős azonosítást együtt kell kezelni. Ha ezek közül csak egyetlen rétegre figyelünk, a támadók a másik kettő gyengeségeit használhatják ki.
Az e-mail-cím azért különösen fontos, mert a legtöbb szolgáltatásnál ez az elsődleges felhasználói azonosítónk. Ugyanezt a címet használjuk közösségi oldalakhoz, webáruházakhoz, streamingplatformokhoz, banki alkalmazásokhoz és jelszó-visszaállításhoz is. Amennyiben egy adatbázisból kiszivárog, a támadók azonnal tudni fogják, melyik címhez érdemes ellopott vagy korábbi jelszavakat próbálgatni. Ezt a kockázatot csökkenthetik az e-mail-álnevek. Ezek olyan egyedi címek, amelyek a beérkező leveleket továbbítják a valódi postafiókba, miközben a szolgáltatás nem ismeri meg az elsődleges címet. Ha egy álnév egy adatszivárgásban nyilvánosságra kerül vagy kéretlen leveleket kezd kapni, egyszerűen letiltható, és helyette létrehozható egy új.
Az e-mail-álnév használata nem kötelező, és önmagában nem akadályozza meg a fiók feltörését, de elkülönítheti egymástól a különböző regisztrációkat. Abban is segíthet, hogy kiderüljön, melyik szolgáltatás adta tovább vagy veszítette el a megadott címet. A jelszavaknál ma már nem elsősorban a különleges karakterek száma jelenti a legfontosabb szempontot. Sokkal nagyobb problémát okoz, ha valaki ugyanazt a jelszót vagy annak kisebb változatait több oldalon is használja. Ilyenkor egyetlen kiszivárgott adatpárossal több fiók is megnyitható.
Minden szolgáltatáshoz különálló, hosszú jelszót érdemes létrehozni, ezek megjegyzése azonban több tucat vagy akár több száz fióknál már nem reális. Erre szolgálnak a jelszókezelők, amelyek létrehozzák és titkosított formában tárolják a belépési adatokat. A felhasználónak így elsősorban a jelszókezelő erős főjelszavát kell megjegyeznie. A jelszókezelők az adathalászat ellen is nyújthatnak némi védelmet. Egy megtévesztésig hasonló hamis oldalon a felhasználó könnyen begépelheti jelszavát, a jelszókezelő azonban általában csak azon a webcímen ajánlja fel az automatikus kitöltést, amelyhez korábban elmentették az adatokat. Ez fontos figyelmeztetés lehet arra, hogy nem a valódi oldalon járunk.
A harmadik védelmi réteg a két- vagy többlépcsős azonosítás. Bekapcsolása után az e-mail-cím és a jelszó megszerzése önmagában nem feltétlenül elegendő a belépéshez, mert a rendszer további igazolást is kér. Ez lehet egy hitelesítő alkalmazásban megjelenő kód, biometrikus azonosítás, fizikai biztonsági kulcs vagy egy másik megbízható eszköz jóváhagyása. A fizikai biztonsági kulcsok és a jelkulcsok, vagyis a passkeyek a leginkább adathalászat-ellenálló megoldások közé tartoznak. A hitelesítő alkalmazások által létrehozott egyszer használatos kódok szintén erősebb védelmet nyújtanak, mint a kizárólag jelszóval működő belépés.
Az SMS-ben érkező kódok kevésbé biztonságosak, mert telefonszám-eltérítéssel vagy megtévesztéssel megszerezhetők, de még ez a módszer is jobb annál, mintha egy fiók semmilyen második védelmi réteget nem használna. Elsősorban az e-mail-fióknál, a jelszókezelőnél, a banki és közösségi oldalakon érdemes azonnal bekapcsolni az elérhető legerősebb azonosítási módot.
Tökéletesen feltörhetetlen fiók nem létezik, de az egyedi e-mail-címek vagy álnevek, a jelszókezelővel létrehozott különálló jelszavak és a többlépcsős azonosítás együtt jelentősen megnehezítik a támadók dolgát. Ha az egyik védelmi réteg elbukik, a következő még megakadályozhatja a belépést.