전통적인 MFA(SMS OTP, 이메일 코드, TOTP 앱)는 사용자가 자격증명을 잘못된 사이트에 입력하면 공격자가 그대로 재사용할 수 있다는 약점이 있다. 피싱 저항형 MFA는 인증 자격증명을 도메인(원래 서비스의 origin)에 묶어 두기 때문에, 위조 사이트에서는 인증 시도가 성립하지 않는다. 대표 구현은 FIDO2/WebAuthn 기반 패스키와 하드웨어 보안키(YubiKey, Google Titan, Feitian 등)다. 미국 CISA, NIST 등 주요 기관이 고위험 직군·관리자 계정에 우선 적용을 권고하고 있다.
피싱 저항형 MFA
aka Phishing-Resistant MFA
피싱 공격으로 사용자 자격증명을 가로채도 로그인을 막을 수 있는 다중 인증 방식