Le nuove forme di SSO, come OAuth2, non fanno altro che fornire un token sicuro per il client da utilizzare per verificare se un utente è effettivamente autorizzato con successo. Non perde il loro nome utente, password o altro. È semplicemente un'affermazione secondo cui, secondo il provider di identità, è un vero utente con qualsiasi mezzo abbia provato da sé e che abbia un identificatore univoco specifico per quel provider.
Potrebbero aver usato una smart card, impronte digitali o altri dati biometrici, ecc., e hanno dimostrato che chi dicono di essere, ma niente di più. Gli attacchi di phishing che utilizzano queste forme di SSO sono inutili, perché non ottengono né le credenziali utilizzate dall'utente né informazioni su altri account che hanno. I token generati sono validi anche per un'app specifica, quindi non possono nemmeno utilizzare quel token per accedere ad altri servizi a cui l'utente potrebbe avere accesso.