Por que importa o MFA
A reutilización de contrasinais e as filtracións de credenciais son inevitables. Engadir unha verificación en tempo real (código dun só uso, notificación push, chave hardware ou biométrica) reduce drasticamente o risco, especialmente para contas de administración, finanzas e correo electrónico.
Métodos comúns de 2FA
SMS (menos seguro)
Amplamente soportado pero vulnerable ao SIM swapping, interceptación SS7 e phishing. Usa SMS só cando non exista unha opción máis forte.
Apps de mensaxería (WhatsApp, Telegram, etc.)
Unha lixeira mellora sobre o SMS porque a mensaxe está cifrada, pero sigue a depender do teu número de teléfono e pode ser secuestrada se esa conta é comprometida.
Apps de autenticación (TOTP)
Xeran códigos offline cada 30 segundos a partir dun segredo compartido. Moi recomendadas para a maioría dos servizos. Opcións populares:
- Google Authenticator
- Microsoft Authenticator
- Authy
- 1Password/Bitwarden con TOTP integrado
- Duo Mobile, Aegis, 2FAS
Autenticadores baseados en push
Algúns servizos (Okta, Duo, Microsoft, Google) envían unha notificación push para aprobar accesos. Cómodo, pero coidado cos ataques de fatiga: denega sempre as solicitudes inesperadas.
Chaves de seguridade hardware
Os dispositivos FIDO2/WebAuthn como YubiKey, Feitian ou SoloKeys ofrecen 2FA resistente ao phishing. Validan o dominio antes de aprobar o acceso e tamén admiten passkeys e PGP.
Autenticadores de plataforma e passkeys
Integrados nos dispositivos (Windows Hello, Touch ID, Face ID, passkeys de Android). Baseados en WebAuthn, son moi cómodos e ao mesmo tempo resisten o phishing.
Seguridade vs. comodidade
| Método | Seguridade | Facilidade de uso | Principais riscos |
|---|---|---|---|
| SMS | Baixa | Moi alta | SIM swap, interceptación, correos de restablecemento falsos |
| App de autenticación | Alta | Media | Perda do dispositivo, falta de copias de seguridade |
| Notificación push | Alta | Alta | Ataques de bombardeo push/fatiga |
| Chave hardware | Moi alta | Media | Perda física, custo, dispoñibilidade de portos |
| Passkeys/biométrica | Moi alta | Moi alta | Compatibilidade de servizos aínda en expansión |
Boas prácticas
- Prefire apps de autenticación ou chaves hardware antes que SMS.
- Rexistra polo menos dous factores (dispositivo de respaldo ou chave + códigos de recuperación).
- Garda os códigos de recuperación de forma segura e offline.
- Para contas compartidas ou de administración, impón chaves hardware sempre que sexa posible.
- Activa passkeys sempre que estean dispoñibles: simplifican os accesos seguros.
Preguntas frecuentes
Que fago se perdo a miña chave hardware?
Usa a túa chave de respaldo ou os códigos de recuperación. Rexistra sempre varias chaves durante a configuración para non quedar bloqueado.
Como traslado os códigos do autenticador a un novo teléfono?
Authy sincronízase na nube; outras apps permiten exportar ou volver a escanear códigos QR. Mantén o dispositivo orixinal ata confirmar o novo.
Poden os atacantes facer phishing dos meus códigos da app?
Si, mediante ataques de retransmisión en tempo real. As chaves hardware e os passkeys ofrecen resistencia ao phishing porque verifican a orixe antes de autorizar o acceso.
Aviso legal
password.es ofrécese “tal cal”. Non garantimos a dispoñibilidade do servizo, a precisión da información nin a seguridade dos contrasinais xerados. Os usuarios son responsables de combinar o 2FA cunha hixiene robusta de contrasinais e seguridade dos dispositivos.