1 Per què és important el MFA?
Les contrasenyes es filtren, es reutilitzen o es poden endevinar. Afegir una verificació en temps real (codi únic, notificació push, clau de maquinari o biometria) redueix dràsticament el risc, sobretot en comptes d'administració, finances i correu electrònic.
2 Mètodes habituals de 2FA
SMS (menys segur)
Molt estès però vulnerable al SIM swapping, a la intercepció SS7 i al phishing. Utilitza'l només si no tens cap alternativa més forta.
Missatgeria (WhatsApp, Telegram, etc.)
Millora una mica l'SMS perquè el missatge és xifrat, però continua depenent del número de telèfon i pot ser segrestat si el compte és compromès.
Aplicacions autenticadores (TOTP)
Generen codis locals cada 30 segons a partir d'un secret compartit. Són l'opció recomanada per a la majoria de serveis. Opcions populars:
- Google Authenticator
- Microsoft Authenticator
- Authy
- 1Password/Bitwarden TOTP integrats
- Duo Mobile, Aegis, 2FAS
Autenticadors push
Alguns serveis (Okta, Duo, Microsoft, Google) envien una notificació push per aprovar l'inici de sessió. Molt còmodes, però vigila els atacs de fatiga: rebutja sempre les sol·licituds inesperades.
Claus físiques de seguretat
Dispositius FIDO2/WebAuthn com YubiKey, Feitian o SoloKeys ofereixen 2FA resistent al phishing. Validen el domini abans d'aprovar l'inici de sessió i també admeten passkeys i PGP.
Autenticadors de plataforma i passkeys
Integrats al dispositiu (Windows Hello, Touch ID, Face ID, passkeys d'Android). Utilitzen WebAuthn i són molt còmodes sense deixar de resistir el phishing.
3 Seguretat vs. comoditat
| Mètode | Seguretat | Comoditat | Riscos principals |
|---|---|---|---|
| SMS | Baixa | Molt alta | Robatori de SIM, intercepció, correus falsos de restabliment |
| App autenticadora | Alta | Mitjana | Pèrdua del dispositiu, manca de còpies de seguretat |
| Notificació push | Alta | Alta | Atacs de fatiga per sol·licituds massives |
| Clau física | Molt alta | Mitjana | Pèrdua física, cost, disponibilitat de ports |
| Passkey/biometria | Molt alta | Molt alta | Compatibilitat de serveis encara en desplegament |
4 Bones pràctiques
- Prioritza apps TOTP o claus físiques abans que SMS.
- Registra almenys dos factors (dispositiu de reserva o clau + codis de recuperació).
- Guarda els codis de recuperació de manera segura fora de línia.
- Per a comptes compartits o d'administració, imposa claus de maquinari sempre que sigui possible.
- Activa passkeys allà on estiguin disponibles: simplifiquen els inicis de sessió segurs.
FAQ
Què passa si perdo la clau física?
Utilitza la clau de recanvi o els codis de recuperació. Enregistra sempre com a mínim dues claus durant la configuració per no quedar bloquejat.
Com migro els codis d'una app TOTP a un telèfon nou?
Authy sincronitza al núvol; altres apps permeten exportar o tornar a escanejar codis QR. Mantén el dispositiu antic fins que el nou estigui confirmat.
Els codis TOTP es poden pescar amb phishing?
Sí, mitjançant atacs de relay en temps real. Les claus físiques i les passkeys ofereixen resistència al phishing perquè verifiquen l'origen abans de signar.
Checklist multifactor
- Activa 2FA a tot arreu, començant pel correu, la banca i les consoles d'administració al núvol.
- Genera contrasenyes úniques amb password.es i desa-les en un gestor zero knowledge.
- Imposa factors resistents al phishing (claus FIDO2) per a perfils amb privilegis elevats.
- Forma l'equip per reconèixer i rebutjar sol·licituds MFA inesperades o peticions de codis.
- Renova els codis de recuperació després de qualsevol incident de seguretat.
Limitació de garanties
password.es es proporciona «tal com és». No garantim la disponibilitat del servei, la precisió de la informació ni la seguretat de les contrasenyes generades. L'usuari és responsable de combinar el 2FA amb una bona higiene de contrasenyes i seguretat del dispositiu.