Для дополнительной защиты от входа в систему неуполномоченных лиц может использоваться двухфакторная аутентификация: аутентификация не только по паролю, но и по принадлежащему данному пользователю средству подписи (СП, см.  разд. «Средства электронной подписи» ). В этом случае после того как пользователь введет правильный пароль, система предложит ему дополнительно либо ввести указанный сеансовый ключ из активного комплекта сеансовых ключей, либо одноразовый СМС-пароль, либо подключить к АРМ сменный носитель криптографической информации (токен) с ключами ЭП и действующим сертификатом, либо использовать приложение "PayControl" (см. разд. 1.4.7 «Использование сервиса "PayControl"»). Двухфакторная аутентификация при помощи СКЗИ Message Pro осуществляется согласно отдельной инстр. «Двухфакторная аутентификация с использованием Message-Pro». Только после того, как будет определено, что попытку входа в систему выполняет лицо, которое не только знает правильный пароль для используемого им имени пользователя, но и владеет соответствующим данной учетной записи средством подписи, пользователь будет авторизован и сможет работать в системе.

Использование двухфакторной аутентификации определяется политикой безопасности банка; в частности, двухфакторная аутентификация может быть рекомендована при использовании клиентом относительно простых средств подписи, таких как одноразовые СМС-пароли или сеансовые ключи. Если для двухфакторной аутентификации используется сертификатное СП, банк может разрешать пользователю, не имеющему действующего сертификата для СП, вход в систему с ограниченными правами для формирования запроса на новый криптографический сертификат (см. также инстр. «Обеспечение использования ЭП», разд. «Получение сертификата и ключей ЭП на период»).

В зависимости от настроек на стороне банка после ввода правильного пароля пользователю может выводиться информационное сообщение об использовании двухфакторной аутентификации.