Ghiduri
Autentificarea în doi pași (2FA): ce este, de ce contează și cum o activezi peste tot
Parola singură nu mai ajunge. Vezi ce este autentificarea în doi pași, de ce codul prin SMS e cea mai slabă variantă, ce alternativă e mai sigură și cum activezi 2FA pe conturile importante, pas cu pas.
O parolă, oricât de complicată, e un singur zid. Dacă cineva ți-o află, printr-o scurgere de date, un email de phishing sau un program care fură parolele de pe calculator, intră direct în cont. Autentificarea în doi pași adaugă un al doilea zid: chiar dacă atacatorul are parola, fără al doilea factor rămâne pe dinafară.
Microsoft estimează că autentificarea în doi pași oprește peste 99,9% din atacurile automate asupra conturilor. Vei vedea ce este, ce tipuri există de la cel mai slab la cel mai sigur, de ce codul prin SMS e cel mai vulnerabil și cum o activezi, pas cu pas, pe conturile importante.
Ce este autentificarea în doi pași
Autentificarea în doi pași (2FA) îți cere, pe lângă parolă, încă o dovadă că tu ești. Cele trei categorii de factori sunt: ceva ce știi (parola, un PIN), ceva ce ai (telefonul, o aplicație, o cheie de securitate) și ceva ce ești (amprenta, fața). Esențial e ca cei doi pași să vină din categorii diferite, două parole nu se pun la socoteală. Vei întâlni și termenul MFA (autentificare cu mai mulți factori): înseamnă practic același lucru, cu precizarea că MFA poate folosi doi sau mai mulți factori.
Tipurile de 2FA, de la cel mai slab la cel mai sigur
Nu toate metodele sunt la fel de bune. Iată-le în ordinea aproximativă a siguranței, de la cea mai vulnerabilă la cea mai puternică.
Cod prin SMS sau email
Cel mai slab. Poate fi interceptat prin rețeaua telefonică sau furat printr-un SIM swap. Tot mai bun decât nimic, dar de evitat unde ai alternativă.
Aplicație de autentificare (cod TOTP)
Un cod de 6 cifre generat offline, care se schimbă la fiecare 30 de secunde (Google Authenticator, Microsoft Authenticator, Authy). Nu poate fi furat prin SIM swap, dar poate fi păcălit prin phishing.
Aprobare prin push
Apeși „Aprob" într-o aplicație. Comod, dar vulnerabil la atacurile de oboseală (push bombing) dacă nu activezi number matching.
Cheie de securitate hardware (FIDO2)
O cheie fizică (de exemplu YubiKey) legată criptografic de site-ul real. Rezistentă la phishing: nu funcționează pe o pagină falsă.
Passkey
Înlocuiește chiar parola, deblocată cu amprenta sau codul telefonului. La fel de rezistentă la phishing ca o cheie hardware, dar mai comodă.
Diferența mare e între primele trei și ultimele două: doar cheile hardware și passkey-urile rezistă la phishing și la furtul sesiunii. Dacă vrei să înțelegi mai bine passkey-urile, vezi ghidul despre ce este o passkey și cum scapi de parole.
De ce SMS-ul e cea mai slabă variantă
Codul prin SMS pare comod, dar are trei slăbiciuni. Prima e frauda de tip SIM swap: atacatorul convinge sau mituiește operatorul să îți mute numărul pe cartela lui și primește toate codurile. A doua e interceptarea prin rețeaua telefonică (SS7), o slăbiciune veche și greu de reparat. A treia e că SMS-ul nu e criptat, deci poate fi citit pe traseu. Tocmai de aceea CISA și FBI au recomandat să eviți SMS-ul ca al doilea factor acolo unde ai o alternativă și să folosești o aplicație de autentificare sau o cheie. Reține totuși nuanța: SMS-ul rămâne mult mai bun decât niciun fel de 2FA.
2FA nu te face invincibil
Codurile de rezervă: plasa ta de siguranță
Când activezi 2FA, serviciul îți oferă de obicei un set de coduri de rezervă (backup codes), de unică folosință. Sunt salvarea ta dacă pierzi telefonul sau accesul la aplicație. Notează-le sau salvează-le într-un loc sigur, ideal într-un manager de parole, niciodată într-un email către tine însuți sau într-o poză lăsată în galerie. Fără ele, pierderea telefonului poate însemna pierderea contului.
Cum activezi 2FA, pas cu pas
Pe majoritatea serviciilor, opțiunea e în setările de securitate ale contului. Etichetele se mai schimbă de la o versiune la alta, așa că mai jos găsești unde să cauți pe platformele importante.
Contul Google, secțiunea Securitate, „Verificarea în doi pași". Recomandat: passkey sau aplicație de autentificare, plus coduri de rezervă.
Microsoft
account.microsoft.com, secțiunea Securitate, „Verificare în doi pași". Folosește Microsoft Authenticator.
Apple
Pe iPhone: Setări, numele tău, „Sign-In & Security", autentificarea în doi factori. La conturile noi e adesea activă deja.
Facebook și Instagram
Meta Accounts Center, „Parolă și securitate", „Autentificare în doi pași". Alege aplicația de autentificare, nu SMS-ul.
Setări, Cont, „Verificare în doi pași", unde setezi un PIN de 6 cifre care îți protejează numărul la reînregistrare.
Începe cu conturile cu cel mai mare impact: emailul principal (fiindcă prin el se resetează tot restul), băncile, conturile de business și rețelele sociale. Dacă observi că cineva îți intră în cont chiar și după ce schimbi parola, citește și ghidul despre de ce îți sparge contul deși schimbi parola.
Contextul din România: băncile și PSD2
În România întâlnești deja 2FA la bancă, chiar dacă nu o numești așa. Regulile europene PSD2 cer autentificarea strictă a clientului pentru plățile și logările online: două elemente independente, plus legarea confirmării de suma și de beneficiarul plății. De aceea îți confirmi plățile din aplicația băncii sau printr-un cod. Ideea e aceeași pe care merită să o aplici peste tot: o singură parolă nu mai e de ajuns.
Mituri despre 2FA
Mit: 2FA mă face de nespart
Fals. Oprește majoritatea atacurilor, dar phishingul avansat și infostealerele pot ocoli formele care nu sunt rezistente la phishing. Passkey-urile și cheile hardware sunt cele mai sigure.
Mit: 2FA prin SMS e inutil
Fals. E cea mai slabă variantă, dar blochează marea majoritate a atacurilor automate. Folosește-l dacă e singura opțiune, dar treci pe aplicație sau passkey când poți.
Mit: am parolă puternică, nu îmi trebuie 2FA
Fals. O parolă puternică nu te apără de phishing, de un infostealer sau de o scurgere de pe un site. Peste 99% dintre conturile compromise nu aveau 2FA.
De unde începi azi
Activează 2FA pe emailul principal chiar acum, apoi pe bancă și pe rețelele sociale, preferabil cu o aplicație de autentificare sau cu o passkey. Combină 2FA cu parole unice dintr-un manager de parole, ca să închizi și ușa deschisă de credential stuffing.
Vrei conturile firmei protejate cu adevărat
Întrebări frecvente
Ce este autentificarea în doi pași (2FA)?
Este un al doilea pas de verificare la logare, pe lângă parolă: ceva ce știi (parola) plus ceva ce ai (telefonul, o aplicație, o cheie) sau ceva ce ești (amprenta). Chiar dacă cineva îți află parola, fără al doilea factor nu intră. Microsoft estimează că autentificarea în doi pași blochează peste 99,9% din atacurile automate asupra conturilor. 2FA și MFA înseamnă practic același lucru, doar că MFA poate folosi doi sau mai mulți factori.
De ce e codul prin SMS cea mai slabă formă de 2FA?
Pentru că SMS-ul poate fi interceptat sau deturnat. Prin frauda de tip SIM swap, atacatorul mută numărul tău pe cartela lui și primește codurile; există și interceptare prin rețeaua telefonică, iar SMS-ul nu e criptat. CISA și FBI au recomandat să eviți SMS-ul ca al doilea factor unde se poate și să folosești o aplicație de autentificare sau o cheie. Totuși, SMS-ul rămâne mult mai bun decât niciun fel de 2FA.
Ce variantă de 2FA e cea mai sigură?
Cele rezistente la phishing: cheile de securitate hardware (de tip FIDO2) și passkey-urile, fiindcă sunt legate criptografic de site-ul real și nu funcționează pe o pagină falsă. Urmează aplicațiile de autentificare (coduri TOTP) și aprobările prin push, mai bune decât SMS-ul, dar care pot fi totuși păcălite prin phishing. SMS-ul e pe ultimul loc. Activează și number matching la aprobările push, ca să eviți atacurile de oboseală.
Mă face 2FA de neatins?
Nu complet. 2FA oprește marea majoritate a atacurilor, dar phishingul avansat de tip adversary in the middle îți poate fura sesiunea după ce introduci codul, iar un infostealer poate fura cookie-urile de sesiune. De aceea cea mai bună apărare sunt passkey-urile sau cheile hardware, plus un dispozitiv curat. Dar regula rămâne simplă: orice formă de 2FA e mult mai bună decât parola singură.
Citește și
GhiduriManager de parole: ce este și cum îl folosești
Ții minte o singură parolă, iar restul le generează și le păstrează un seif criptat. Vezi cum funcționează un manager de parole, dacă e sigur după breșa LastPass și cum începi corect.
TehnologiiCe este o passkey și cum scapi de parole
Passkey-urile promit autentificare fără parole și rezistentă la phishing. Vezi ce este o passkey, cum funcționează, prin ce diferă de o parolă și de un cod SMS, și ce limite are deocamdată.
AmenințăriDe ce îmi sparge contul deși schimb parola
Ai schimbat parola, dar atacatorul tot intră. Nu e magie: sunt sesiuni rămase deschise, un program care fură date pe dispozitiv sau accese ascunse. Iată de ce și ce faci, în ordinea corectă.