Într-un peisaj online dominat de breșe de date, phishing și malware, autentificarea în doi pași (2FA) a devenit cea mai simplă măsură de siguranță pe care o poți implementa imediat, gratuit și fără cunoștințe tehnice avansate. Din 2021, instituțiile financiare din România aplică deja autentificarea puternică a clientului (SCA) conform PSD2, iar din 2024 marii furnizori de servicii web – Google, Meta, Microsoft, Apple – promovează passkeys și coduri OTP drept standard implicit. Dacă încă folosești doar parolă la conturile personale, este momentul să recuperezi terenul. Ghidul de mai jos îți arată, pas cu pas, cum activezi 2FA pe cele mai populare platforme, ce aplicații recomandă specialiștii de la DNSC (fostul CERT-RO) și cum să eviți capcanele frecvente.
1. Ce înseamnă autentificarea în doi pași – pe scurt
Autentificarea se face prin două elemente diferite:
- Ce știi – parola.
- Ce deții (telefon, token hardware) sau ce ești (amprentă, recunoaștere facială).
Chiar dacă parola este compromisă, atacatorul nu poate accesa contul fără al doilea factor. În 2025, metodele recomandate sunt:
- OTP TOTP – coduri temporare (30 sec.) generate de aplicații tip Google Authenticator, Microsoft Authenticator, Authy.
- Push – confirmi un dialog de notificare pe telefon (Microsoft, Google, Apple).
- Passkey/FIDO2 – chei criptografice stocate local, deblocate biometric.
- Token hardware – YubiKey, Titan, SoloKey, recomandate pentru jurnaliști și activiști.
- SMS – acceptabil doar ca rezervă; vulnerabil la SIM swapping.
2. Aplicații gratuite recomandate
| Aplicație | Platforme | Backup în cloud | Export ușor | Observații |
|---|---|---|---|---|
| Google Authenticator | Android, iOS | Da (Google Drive) | Cod QR | UI simplu; integrate cu contul Google |
| Microsoft Authenticator | Android, iOS | Da (OneDrive) | Backup codificat | Push login pentru Microsoft 365 |
| Authy | Android, iOS, Windows, macOS, Linux | Da (cripto) | Device multiple | Ideal pentru conturi crypto |
| FreeOTP | Android, iOS | Nu | QR | Open-source; fără cloud |
3. Configurarea 2FA pentru servicii populare
3.1 Google (Gmail, YouTube, Drive)
- Conectează-te la myaccount.google.com/security.
- La Autentificare în doi pași → Începe.
- Alege opțiunea preferată: Prompt Google (push), Passkey (implicit) sau Authenticator App.
- Scanează codul QR cu aplicația Authenticator → introdu codul de șase cifre.
- Salvează codurile de rezervă (10 coduri unice) offline.
3.2 Facebook & Instagram (Meta)
- În aplicația Facebook: Setări și confidențialitate ▸ Parolă și securitate ▸ Autentificare cu doi factori.
- Selectează Aplicație de autentificare → scanează codul QR.
- Activează notificările push pentru confirmare rapidă.
- Pe Instagram procesul e similar: Setări ▸ Securitate ▸ Autentificare în doi pași.
3.3 Microsoft (Outlook, OneDrive, Xbox)
- Accesează account.microsoft.com ▸ Securitate.
- Apasă Opțiuni avansate de securitate ▸ Verificare în doi pași.
- Instalează Microsoft Authenticator și confirmă prin push.
- Creează o cheie de securitate FIDO2 ca metodă suplimentară.
3.4 Apple ID (iPhone, Mac)
Autentificarea cu doi factori este obligatorie pe conturile noi. Pentru a verifica:
Setări ▸ [numele tău] ▸ Parolă și securitate. Dacă nu e activă, urmează pașii de verificare prin SMS, apoi confirmă pe un dispozitiv Apple de încredere.
3.5 Online banking în România
Toate băncile mari (BCR, BT, Raiffeisen, ING) aplică autentificare puternică:
- Push în aplicația mobilă (ex.: George, NeoBT).
- Token hardware pentru clienții companii.
Verifică setările în aplicația băncii și activează „Confirmare tranzacții”/„Mobile Token”.
3.6 Ghișeul.ro, ANAF, e-Guvernare
Din 2024, portalurile guvernamentale acceptă autentificare cu certificat digital calificat sau eID (carte de identitate electronică). Dacă folosești user/parolă, adaugă un token OTP furnizat de partener (CertSign, DigiSign) sau treci la autentificare prin ROeID Pass.
4. Sfaturi practice și capcane
- Evita SMS ca metodă principală. Este expus la portare frauduloasă a numărului.
- Activează backup-ul cloud la aplicația Authenticator, dar protejează contul cu parolă puternică/passkey.
- Păstrează două metode de rezervă (coduri, token hardware depozitat separat).
- Actualizează periodic telefonul – aplicațiile OTP depind de ceasul intern; un firmware vechi poate genera coduri greșite.
- Verifică notificările push: atacatorii pot încerca „fatigue attack” trimițând valuri de cereri. Refuză dacă n-ai inițiat loginul.
- Schimbă 2FA la angajator înainte de plecare din firmă pentru a nu rămâne blocat pe contul corporate.
5. Pasul următor: passkeys și viitorul fără parole
În 2025, Google, Apple și Microsoft oferă passkeys ca metodă implicită: te autentifici cu amprentă sau Face ID, iar cheia criptografică se sincronizează pe dispozitivele tale (Chrome, Safari, Edge). Avantaje:
- Phishing-rezistent – domeniul este verificat de protocol.
- Instant – login cu un singur gest biometric.
- Funcționează offline pe telefon și online pe desktop prin cod QR.
Activează-le din aceeași secțiune de securitate a contului; vei vedea opțiunea „Utilizează passkey în loc de parolă”.
6. Concluzie
Autentificarea în doi pași nu mai este un bonus, ci un standard minim de igienă digitală. Fie că îți protejezi contul de e-mail, profilul de social media sau tranzacțiile bancare, 2FA reduce riscul de compromitere cu peste 90 %. În România, infrastructura legală (PSD2, eIDAS) susține deja acest model, iar marile platforme fac configurarea mai ușoară ca oricând. Așadar, acordă-ți 15 minute astăzi și treci prin pașii de mai sus – vei dormi mai liniștit, știind că identitatea ta digitală este cu adevărat a ta.
