Wielostopniowa autoryzacja użytkowników polega na logowaniu się do zasobów w co najmniej dwóch etapach, które mają za zadanie uwiarygodnić tożsamość osoby próbującej uzyskać dostęp do danych. Uwierzytelnianie wieloskładnikowe pozwala dokładnie zabezpieczyć zdalny dostęp do serwera, dokumentów lub aplikacji.
Weryfikacja dwuetapowa wymaga od użytkownika podania loginu i hasła, a następnie potwierdzenia swojej tożsamości na jeden z wybranych sposobów. Są to m.in.: wpisanie hasła otrzymanego SMS-em, podanie kodu z fizycznego tokenu lub skorzystanie z wpinanego do USB klucza U2F. Autoryzacja wielostopniowa dodaje jeden lub więcej elementów autoryzacji jak np.: odcisk palca lub skan tęczówki.
Sposób logowania polegający na uzyskiwaniu dostępu wskutek wpisania kolejno dwóch różnych haseł nie może zostać sklasyfikowany jako weryfikacja dwuetapowa. Dwu- lub wielostopniowa autoryzacja odnosi się do korzystania z więcej niż jednego elementu, który może potwierdzić tożsamość użytkownika. Należą do nich: smartfon z kodem SMS lub generatorem kodów, karta z jednorazowymi hasłami lub klucz U2F.
Od 2019 roku na mocy unijnej dyrektywy PSD2 weryfikacja dwuetapowa jest obowiązkowym elementem logowania do bankowości elektronicznej. Prawo nie wymaga wielostopniowej autoryzacji w innych dziedzinach życia, jednak organizacje, które umożliwiają pracę zdalną, powinny bezwzględnie zabezpieczyć swoje dane za pomocą wieloskładnikowego uwierzytelniania.
Dzięki zabezpieczeniu firmowych zasobów za pomocą wielostopniowej autoryzacji, w przypadku wykradnięcia haseł przez cyberprzestępców lub zawieruszenia danych do logowania przez jednego z pracowników, uzyskanie dostępu do danych przez osobę niepowołaną zakończy się niepowodzeniem. Poufne informacje pozostaną bezpieczne, a użytkownik, którego hasło zostało użyte do próby logowania, otrzyma powiadomienie o podejrzanej aktywności.