Autentificarea în doi pași (2FA) e esențială, dar nu te face invulnerabil. Dacă după activare „uiți” de bunele practici, lași breșe ușor exploatabile. Mai jos sunt capcanele întâlnite cel mai des și soluțiile concrete.
1) „Am activat 2FA, deci sunt în siguranță”
2FA te protejează doar cât timp lanțul e diversificat și actualizat. Să te bazezi pe un singur factor secundar (de pildă, doar SMS) creează un punct unic de eșec: pierzi numărul sau ești victima unui SIM-swap și ți se deschide ușa tuturor conturilor.
Ce funcționează mai bine
– Combină metode: chei hardware (FIDO2/WebAuthn), aplicații de autentificare (TOTP), prompturi pe dispozitive diferite, parole/chei de acces (passkeys) unde sunt disponibile.
– Separă canalele de recuperare: nu folosi aceeași adresă/număr peste tot.
2) „Toate metodele 2FA sunt la fel de sigure”
Nu.
SMS: comod, dar legat de număr, ușor de deturnat prin portări frauduloase.
Aplicații de autentificare (TOTP): mai bine, coduri locale; atenție la backup-uri în cloud și la securitatea telefonului.
Chei hardware (FIDO2): standardul de aur pentru phishing-resistance; necesită chei de rezervă și coduri de recuperare.
Recomandare: preferă FIDO2/passkeys > TOTP > SMS.
3) „Conturile neimportante nu au nevoie de 2FA”
Conturile vechi sau „mărunte” devin vectori de intrare: parole reciclate, e-mailuri de recuperare învechite, tokenuri de aplicații uitate. Un leak minor poate duce la preluarea conturilor principale.
Ce să faci
– Inventariază și șterge conturile pe care nu le mai folosești.
– Revizuiește permisiuni și aplicații conectate.
– Activează 2FA peste tot unde există opțiunea.
4) „Aprob notificările 2FA din reflex, e ok”
Atacatorii exploatează „prompt fatigue” (îți trimit spam cu aprobări până cedezi). Pot intercala și pagini de phishing care arată legitim.
Ce să faci
– Nu aproba niciun prompt dacă nu te autentifici chiar atunci.
– Verifică detalii: locație aproximativă, dispozitiv, oră.
– Setează notificări cu context și, unde se poate, cere confirmarea unui cod afișat pe ecran (number matching).
– Raportează încercările suspecte și schimbă parola.
5) „Biometria e imposibil de păcălit”
Sistemele compară șabloane digitale, nu „fața ta” propriu-zisă. Cu materiale de calitate (măști 3D, mulaje), anumite implementări pot fi păcălite. Și, spre deosebire de parole, biometria nu se „schimbă” dacă scapă în lume.
Bune practici
– Ține biometria pentru deblocarea dispozitivului, nu ca unic factor la conturi critice.
– Unde poți, combină cu factor criptografic (chei hardware/passkeys).
6) „Cheile hardware sunt 100% imune”
Sunt foarte sigure, dar îți poți bloca singur accesul dacă pierzi singura cheie sau cumperi dispozitive second-hand compromise.
Checklist
– Înregistrează cel puțin două chei (păstrate separat).
– Generează/împarte codurile de recuperare în loc sigur.
– Cumpără doar de la vânzători oficiali.
7) „Nu mai am nimic de făcut după activare”
Securitatea e un proces continuu.
Plan minimal de igienă 2FA
– Întărește baza: manager de parole, parole unice, actualizări la zi ale sistemului.
– Blochează portarea SIM: setează PIN/port-freeze la operator, cere prezență fizică pentru schimbări.
– Dispozitiv dedicat: poți folosi un telefon vechi doar pentru aplicații 2FA/prompturi, ținut offline când nu e necesar.
– Audit trimestrial: recuperezi coduri, refaci backup-urile, verifici metodele 2FA și contactele de recuperare.
– Educație anti-phishing: nu introduce coduri pe linkuri din mesaje, folosește acces direct la site/aplicație.
Concluzie
2FA te protejează excelent, dar doar ca parte a unui ecosistem: parole bune, metode multiple, verificări periodice și vigilență la notificări. Tu ești veriga critică a lanțului.
.jpg "Narada: educația din România, în criză de relație și adaptare emoțională")
