TAN-lijsten
De eenvoudigste vorm van 2FA bestaat uit een lijst met codes die diensten hun gebruikers na registratie verstrekken. Elke code kan slechts één keer worden gebruikt, zodat het voor een aanvaller zinloos is om de betreffende code samen met het wachtwoord te stelen. Er kan met dezelfde code tenslotte niet nóg een keer worden ingelogd.
Veel mensen kennen de TANlijsten wel omdat je die vroeger van je bank kreeg om online betalingen te kunnen doen. Omdat die TANcodes op een vel papier stonden, konden trojans op de computer het wachtwoord wel registreren, maar bedragen overschrijven was onmogelijk omdat alle eerder ingevoerde TAN-codes onbruikbaar waren. Helaas lag die TAN-lijst in de praktijk vaak ergens anders, of slingerden er kopieën op meerdere plekken rond, waardoor er toch relatief eenvoudig misbruik van kon worden gemaakt. Daarom wordt er steeds minder met die TAN-lijsten gewerkt. Google, Facebook, Twitter, Microsoft, Steam en Dropbox gebruiken deze procedure nog als back-up voor als alle andere 2FA-methoden mislukken. Het verzoek om zo'n lijst af te drukken en niet digitaal op te slaan, moet je zeker opvolgen aangezien een trojan met toegang tot het toetsenbord vrijwel zeker ook toegang zal hebben tot het bestand met TAN-codes. De veiligheid is dan ook alleen gewaarborgd als aanvallers niet in staat zijn om de lijst te bemachtigen.