Ciberseguretat · element 58
2FA
Doble factor actiu
En una frase
El doble factor d'autenticació afegeix una segona comprovació en iniciar sessió, de manera que tenir només la teva contrasenya no sigui suficient per entrar als teus comptes de correu, banca, inversió o serveis importants.
Què significa
El doble factor d'autenticació —2FA, de l'anglès two-factor authentication— és una capa extra de seguretat.
En lloc de protegir un compte només amb una contrasenya, el sistema et demana una segona prova que demostri que ets tu.
Els factors poden ser de tres tipus:
| Factor | Exemple |
|---|---|
| Una cosa que saps | Contrasenya, PIN |
| Una cosa que tens | Mòbil, app d'autenticació, clau física |
| Una cosa que ets | Empremta dactilar, reconeixement facial |
Amb 2FA actiu, si algú roba la teva contrasenya, encara necessita el segon factor per entrar.
Això és especialment important en finances personals, perquè molts atacs no comencen pel banc: comencen pel correu electrònic, una contrasenya filtrada o una web falsa.
No tots els segons factors són iguals
| Mètode | Seguretat orientativa | Comentari |
|---|---|---|
| SMS | Millor que res | Pot ser vulnerable a SIM swapping, smishing o suplantació |
| Codi per correu electrònic | Limitat | Només és raonable si el correu està molt ben protegit |
| App d'autenticació | Bona | Genera codis al dispositiu, però encara pot caure en phishing |
| Notificació push | Bona, amb prudència | Vigila no aprovar notificacions que no has iniciat |
| Passkey | Molt bona | Més resistent al phishing i fàcil d'usar si el servei ho permet |
| Clau física FIDO2 / U2F | Molt alta | Molt recomanable per a comptes crítics |
La regla pràctica seria:
SMS és millor que no tenir res. App d'autenticació és millor que SMS. Passkeys o claus físiques són millor opció per als comptes més importants.
Per què és important
El teu correu és la clau mestra. Molts serveis permeten recuperar la contrasenya a través del correu. Si algú entra al teu correu, pot intentar accedir després al banc, al bròker, al gestor de contrasenyes, a xarxes socials o a serveis amb targetes guardades.
El banc i el bròker són objectius evidents. Si algú accedeix als teus comptes financers, pot intentar transferir diners, canviar dades, contractar productes o suplantar-te.
També importa perquè moltes contrasenyes acaben filtrades. Si reutilitzes contrasenyes, un atacant pot provar-les automàticament en molts serveis diferents. El 2FA redueix molt aquest risc.
I, sobretot, perquè és una protecció amb molt bona relació esforç-benefici: activar-la pot costar pocs minuts i pot evitar un problema molt gran.
On activar-lo primer
No cal fer-ho tot en una tarda. Fes-ho per ordre de risc.
| Prioritat | Compte |
|---|---|
| 1 | Correu electrònic principal |
| 2 | Gestor de contrasenyes |
| 3 | Banca online |
| 4 | Bròkers, roboadvisors i plataformes d'inversió |
| 5 | Compte del mòbil i núvol: Apple, Google, Microsoft |
| 6 | Comptes de compres amb targetes guardades |
| 7 | Xarxes socials i missatgeria |
El correu principal hauria d'anar primer perquè és la porta de recuperació de molts altres comptes.
Com aplicar-ho avui
- Entra a la configuració de seguretat del teu correu principal i busca "verificació en dos passos", "autenticació de dos factors" o "autenticació multifactor".
- Activa-la amb una app d'autenticació, passkey o clau física si el servei ho permet. Si només hi ha SMS, activa SMS: és millor que no tenir res.
- Guarda els codis de recuperació. Són els codis que et permeten tornar a entrar si perds el mòbil, canvies de dispositiu o tens un problema amb l'app. Desa'ls en un gestor de contrasenyes, en una còpia impresa segura o en un lloc separat del mòbil.
- Repeteix el procés amb el banc, el bròker i el gestor de contrasenyes.
- Revisa també dispositius connectats i sessions obertes. Si veus un dispositiu que no reconeixes, tanca la sessió i canvia la contrasenya.
Regles d'or
- No comparteixis mai codis 2FA.
- Cap banc, bròker, companyia telefònica o servei legítim et trucarà per demanar-te un codi de verificació.
- Si reps un codi que no has sol·licitat, no el facis servir i revisa immediatament la seguretat del compte.
- No aprovis notificacions push si no has intentat iniciar sessió tu.
- No entris al banc des d'un enllaç rebut per SMS o correu. Obre sempre l'app oficial o escriu tu l'adreça.
- Si et quedes sobtadament sense cobertura mòbil, comprova amb la teva operadora si hi ha hagut un duplicat de SIM.
Errors comuns
- Protegir el banc però no el correu electrònic.
- Fer servir SMS quan el servei permet app d'autenticació, passkey o clau física.
- No guardar codis de recuperació.
- Aprovar notificacions push per pressa o cansament.
- Donar codis 2FA per telèfon a algú que diu ser del banc.
- Pensar que 2FA elimina tot risc. El redueix molt, però no substitueix el sentit comú.
- Reutilitzar contrasenyes en comptes importants.
- No protegir el gestor de contrasenyes amb 2FA.
Vinculat amb
Recursos
📚 OSI — Verificació en dos passos. Guia oficial (INCIBE) que defineix la verificació en dos passos com una mesura addicional a la contrasenya per protegir l'accés no autoritzat als comptes.
📚 INCIBE — Línia d'ajuda 017. Telèfon gratuït i confidencial per a dubtes i incidents de ciberseguretat.
📚 Banco de España — Seguretat en banca digital. Recomana l'autenticació multifactor quan estigui disponible i recorda que cap entitat ha de demanar contrasenyes o claus completes per canals no segurs.
📚 NIST — Digital Identity Guidelines (SP 800-63B). Considera restringit l'ús de la xarxa telefònica (SMS o veu) com a canal d'autenticació fora de banda, per riscos com el duplicat de SIM, la portabilitat o la intercepció.
Amb 2FA, robar-te la contrasenya ja no hauria de ser suficient per robar-te el compte.
← Tornar a la taula