Saltar al contingut principal

Què és 2FA? Guia d'autenticació de dos factors

Què és 2FA? Com funciona l'autenticació de dos factors, els cinc tipus de 2FA, i com activar-la als vostres comptes més importants.

Última actualització: 5 d’abril del 2026

Les contrasenyes per si soles no són suficients per protegir els vostres comptes en línia. Les violacions de dades exposen milers de milions de credencials cada any, i fins i tot les contrasenyes fortes poden ser compromeses mitjançant phishing, keyloggers o atacs de força bruta. L'autenticació de dos factors (2FA) afegeix una segona capa de defensa — fins i tot si algú us roba la contrasenya, encara no pot accedir al vostre compte sense el segon factor. Aquesta guia explica què és 2FA, com funciona cada mètode, quins tipus són més segurs i com configurar-lo als vostres comptes més importants. És un dels passos individuals més efectius que podeu fer per protegir la vostra vida digital.

Tipus d'autenticació de dos factors

Codis SMS

Un codi d'ús únic s'envia al vostre número de telèfon mitjançant un missatge de text. Introduïu aquest codi després de la vostra contrasenya per completar l'inici de sessió. SMS 2FA és el mètode més àmpliament disponible — gairebé tots els serveis ho admeten i no requereix aplicacions o maquinari addicionals. No obstant això, és la forma més feble de 2FA degut a la vulnerabilitat als atacs de SIM swapping (on un atacant convenç el vostre operador per transferir el vostre número de telèfon a la seva targeta SIM) i les explotacions del protocol SS7 que poden interceptar missatges de text.

  • Avantatges: Àmpliament admès, no cal aplicació, funciona a qualsevol telèfon
  • Inconvenients: Vulnerable a SIM swapping, intercepció SS7 i atacs d'enginyeria social a operadors telefònics

Aplicacions d'autenticació (TOTP)

Les aplicacions de contrasenya d'ús únic basades en temps (TOTP) generen un nou codi de 6 dígits cada 30 segons utilitzant un secret compartit i el temps actual. Les aplicacions populars inclouen Google Authenticator, Authy, Microsoft Authenticator i Ente Auth. TOTP és significativament més segur que SMS perquè els codis es generen localment al vostre dispositiu — no hi ha canal de transmissió per interceptar. Els codis funcionen sense connexió i no estan vinculats al vostre número de telèfon. Aquest és el mètode 2FA recomanat per a la majoria de persones, equilibrant forta seguretat amb facilitat d'ús.

  • Avantatges: Segur, capaç sense connexió, aplicacions gratuïtes disponibles, no vinculat al número de telèfon
  • Inconvenients: Perdre el dispositiu sense codis de còpia de seguretat us bloqueja; els llocs de phishing encara poden capturar codis en temps real

Claus de seguretat de maquinari

Dispositius físics com YubiKey, Google Titan i SoloKeys s'endollen al vostre port USB o es toquen via NFC per autenticar. Les claus de maquinari utilitzen l'estàndard FIDO2/WebAuthn, que és resistent al phishing per disseny — la clau verifica criptogràficament el domini del lloc web abans d'autenticar, fent impossible per als llocs de phishing interceptar. Google requereix que tots els empleats utilitzin claus de maquinari i va informar de zero atacs de phishing reeixits des de la implementació. Les claus costen $25-70 i són el mètode 2FA més segur disponible.

  • Avantatges: Seguretat més forta, resistent al phishing, sense bateries, funciona sense connexió, durador
  • Inconvenients: Costa $25-70, es pot perdre o oblidar, no admès per tots els serveis

Biometria

Els escàners d'empremtes digitals (Touch ID), reconeixement facial (Face ID) i escàners d'iris utilitzen les vostres característiques físiques com a factor d'autenticació. La biometria és convenient — sempre la teniu amb vosaltres i no es pot oblidar. Funcionen com un segon factor junt amb contrasenyes en molts dispositius i serveis. No obstant això, la biometria no es pot canviar si està compromesa (a diferència d'una contrasenya), i pot ser obligada per les forces de l'ordre a moltes jurisdiccions. La qualitat varia significativament entre dispositius.

  • Avantatges: Conveniente, sempre disponible, autenticació ràpida, difícil de replicar
  • Inconvenients: No es pot canviar si està compromesa, pot ser obligada legalment, la qualitat varia segons el dispositiu

Passkeys

Les passkeys són l'estàndard d'autenticació més nou, dissenyat per substituir les contrasenyes completament. Basats en FIDO2/WebAuthn, les passkeys utilitzen criptografia de clau pública — el vostre dispositiu emmagatzema una clau privada, i el servei emmagatzema la clau pública corresponent. L'autenticació es produeix mitjançant el sensor biomètric o el PIN del vostre dispositiu, sense contrasenya per escriure, phishejar o robar. Apple, Google i Microsoft han integrat suport de passkey en els seus sistemes operatius. Les passkeys es sincronitzen entre dispositius mitjançant iCloud Keychain, Google Password Manager o altres proveïdors, combinant la seguretat de les claus de maquinari amb la comoditat de la biometria.

  • Avantatges: Resistent al phishing, sense contrasenyes per recordar, sincronitza entre dispositius, ràpid
  • Inconvenients: Relativament nou, encara no admès universalment, preocupacions de bloqueig de plataforma amb passkeys sincronitzades

Millors pràctiques de 2FA

  1. Activeu 2FA al vostre compte de correu electrònic primer — és la clau mestra a tots els vostres altres comptes. Si algú compromet el vostre correu electrònic, pot restablir les contrasenyes a tots els serveis enllaçats. El vostre correu electrònic és el compte més important per protegir amb 2FA.
  2. Utilitzeu una aplicació d'autenticació en lloc de SMS sempre que sigui possible. Les aplicacions TOTP són immunes al SIM swapping i als atacs SS7. Si un servei només ofereix 2FA basat en SMS, utilitzeu-lo de totes maneres — SMS 2FA encara és dramàticament millor que cap 2FA en absolut.
  3. Manteniu els codis de còpia de seguretat en un lloc segur i separat. Emmagatzemeu-los en un gestor de contrasenyes (diferent del protegit per 2FA), imprimiu-los i guardeu-los en una caixa forta, o escriviu-los en paper guardat de manera segura. Mai no emmagatzemeu codis de còpia de seguretat en una nota no xifrada al mateix dispositiu que el vostre autenticador.
  4. Considereu una clau de seguretat de maquinari per als vostres comptes més crítics — correu electrònic, banca, emmagatzematge al núvol i gestors de contrasenyes. Una YubiKey 5 NFC ($50) funciona amb USB-A, USB-C i NFC, cobrint pràcticament cada dispositiu. Registreu dues claus per compte perquè tingueu una còpia de seguretat.
  5. Auditeu regularment quins comptes tenen activat 2FA. Utilitzeu un gestor de contrasenyes per fer el seguiment. Ordre de prioritat: correu electrònic, serveis bancaris i financers, emmagatzematge al núvol, xarxes socials, llocs de compra amb mètodes de pagament desats i qualsevol compte de treball o professional.

Com configurar 2FA

Configurar 2FA triga menys de cinc minuts per compte. Aquí teniu el procés per a 2FA basat en aplicació d'autenticació, que és el mètode recomanat per a la majoria de persones:

  1. Obrir la configuració de seguretat:Navegueu a la configuració de seguretat del vostre compte. Cerqueu "Autenticació de dos factors," "Verificació en 2 passos," o "Seguretat d'inici de sessió." A Google, aneu a myaccount.google.com > Security > 2-Step Verification. A Apple, aneu a Settings > [El vostre nom] > Sign-In & Security.
  2. Trieu un mètode 2FA:Seleccioneu el vostre mètode 2FA. Trieu "Authenticator App" per al millor equilibri entre seguretat i comoditat. Instal·leu una aplicació TOTP si no en teniu una — Google Authenticator, Authy o Ente Auth són totes bones opcions. Authy i Ente Auth ofereixen còpia de seguretat al núvol xifrada dels vostres codis.
  3. Escanegeu el codi QR:Escanegeu el codi QR mostrat a la pantalla amb la vostra aplicació d'autenticació. L'aplicació generarà un codi de 6 dígits que es refresca cada 30 segons. Introduïu el codi actual per verificar que la configuració funciona correctament.
  4. Guardeu codis de còpia de seguretat:Guardeu els vostres codis de còpia de seguretat immediatament. La majoria dels serveis proporcionen codis de recuperació d'un sol ús que us permeten recuperar l'accés si perdeu el dispositiu d'autenticació. Emmagatzemeu-los en un gestor de contrasenyes, imprimiu-los o escriviu-los i guardeu-los en un lloc segur separat dels vostres dispositius. Sense codis de còpia de seguretat, perdre el telèfon podria bloquejar-vos permanentment del compte.

Preguntes freqüents

Per això els codis de còpia de seguretat són essencials. Quan configureu 2FA, la majoria dels serveis proporcionen codis de recuperació — codis d'ús únic que eludeixen 2FA. Utilitzeu-ne un per recuperar l'accés, després configureu 2FA de nou al vostre nou dispositiu. Si utilitzeu Authy o Ente Auth, els vostres codis es guarden a l'emmagatzematge al núvol xifrat i es poden restaurar en un nou dispositiu. Google Authenticator ara també admet còpia de seguretat al núvol. Si no teniu codis de còpia de seguretat ni mètode de recuperació, haureu de passar pel procés de recuperació de compte del servei, que pot trigar dies o setmanes i requerir verificació d'identitat.

Absolutament sí. Malgrat les seves vulnerabilitats al SIM swapping i atacs SS7, el SMS 2FA bloqueja la gran majoria d'atacs automatitzats. La investigació de Google mostrà que atura el 100% dels bots automatitzats i el 96% del phishing massiu. El model d'amenaça realista per a la majoria de persones no inclou SIM swapping dirigit — això és principalment un risc per a objectius d'alt valor com els titulars de criptomonedes i figures públiques. Si un servei només ofereix SMS 2FA, activeu-lo. Qualsevol 2FA és dramàticament millor que cap 2FA.

Cap mètode 2FA és 100% irrompible, però la dificultat varia enormement. Els codis SMS poden ser interceptats via SIM swapping. Els codis TOTP es poden phishejar en temps real amb atacs sofisticats que retransmeten codis a la pàgina d'inici de sessió real. No obstant això, les claus de seguretat de maquinari que utilitzen FIDO2 són resistents al phishing per disseny — la clau verifica criptogràficament el domini del lloc web, fent impossible el phishing. Les passkeys hereten la mateixa protecció. Per a la majoria de persones, el 2FA basat en TOTP proporciona protecció més que suficient contra amenaces realistes.

Idealment sí, però prioritzeu estratègicament. El vostre compte de correu electrònic és el més crític — és el mecanisme de recuperació per a tota la resta. A continuació, activeu 2FA als serveis bancaris i financers, emmagatzematge al núvol (Google Drive, iCloud, Dropbox), xarxes socials, qualsevol compte amb informació de pagament desada i el vostre gestor de contrasenyes. Els comptes de baixa prioritat sense dades personals es poden ometre si esteu aclaparats, però l'objectiu hauria de ser 2FA a tot arreu.

Les claus de seguretat de maquinari (YubiKey, Google Titan) que utilitzen l'estàndard FIDO2/WebAuthn són la forma més segura de 2FA disponible. Són resistents al phishing per disseny, requereixen possessió física i no tenen codis per interceptar o retransmetre. Les passkeys ofereixen seguretat similar amb la comoditat afegida de la sincronització al núvol. Les aplicacions d'autenticació TOTP són la següent millor opció — significativament més segures que SMS. SMS és el 2FA més feble però encara molt millor que l'autenticació només amb contrasenya.

Sí, aquesta és la seva intenció de disseny. Les passkeys combinen la contrasenya i el segon factor en un únic pas d'autenticació resistent al phishing. En lloc d'escriure una contrasenya i després introduir un codi, simplement us autentiqueu amb el sensor biomètric o el PIN del dispositiu. La criptografia subjacent FIDO2 proporciona seguretat més forta que contrasenya + TOTP combinats. No obstant això, l'adopció de passkeys encara està creixent — no tots els serveis les admeten. En el període de transició, continueu utilitzant 2FA tradicional (aplicació d'autenticació o clau de maquinari) als serveis que encara no admeten passkeys.