La 2FA afegeix una segona comprovació de verificació per aturar les usurpacions de comptes. Ara veuràs com utilitzar l’autenticació de dos factors per protegir els comptes de l’empresa.

L’activació de l’autenticació de dos factors (2FA) als comptes de correu electrònic i programari de l’empresa protegeix la teva petita empresa contra el robatori de dades i les usurpacions de comptes. La 2FA verifica dos factors d’identitat diferents abans de permetre que els empleats iniciïn sessió als serveis en línia. Les eines empresarials, com ara Google Workspace, Microsoft 365 i QuickBooks Online, ofereixen diversos mètodes de verificació de dos factors, com ara aplicacions d’autenticació i claus d’accés.

A continuació, examinarem què és el 2FA, com funciona i per què la teva petita empresa l’hauria de fer servir. Explora els mètodes d’inici de sessió més segurs i aprèn a configurar el 2FA a les plataformes principals.

Què és l’autenticació de dos factors?

L’autenticació de dos factors (2FA) és un mètode de seguretat que comprova dos tipus de proves per verificar que una persona és qui afirma ser. Les aplicacions al núvol sovint confirmen la identitat abans que els usuaris iniciïn la sessió i requereixen credencials, com ara una contrasenya de compte (el primer factor) i un codi únic d’un sol ús d’una aplicació d’autenticació (el segon factor). L’aplicació de la 2FA als comptes de l’empresa redueix el risc d’abús de comptes i és una estratègia d’identitat i d’accés de baix cost per a petites empreses

Autenticació multifactor vs. autenticació de dos factors

2FA és un tipus d’autenticació multifactor (MFA). Mentre que l’MFA requereix dues o més credencials diferents, l’autenticació en dos passos (2FA) en necessita exactament dues. Alguns serveis de verificació en dos passos no són processos 2FA reals perquè es basen en dues proves de la mateixa categoria, com ara una contrasenya i preguntes de seguretat, que són coses que ja coneixes.

Tipus de factors d’autenticació per a 2FA

Un factor d’autenticació és una categoria de proves que s’utilitza per demostrar la identitat d’una persona. L’Institut Nacional d’Estàndards i Tecnologia dels EUA (NIST), a les seves Directrius d’identitat digital enumera tres tipus de factors d’autenticació:

• Coneixement (alguna cosa que saps): informació que només coneix l’usuari, com ara una contrasenya, un PIN o una frase de contrasenya numèrica.
• Possessió (alguna cosa que tens): un dispositiu registrat, com ara un telèfon intel·ligent amb una aplicació d’autenticació, clau d’accés, una clau de seguretat USB o una targeta intel·ligent (anteriorment anomenades «tokens de maquinari»).
• Inherència (alguna cosa que ets): dades biomètriques que confirmen una característica única, com ara una empremta digital, trets facials o una exploració de la retina.

Alguns serveis en línia ofereixen opcions d’autenticació basades en la geolocalització (on ets) o en el comportament (alguna cosa que fas). El NIST descriu aquests elements com a senyals de risc o indicadors de frau. Poden detectar activitats sospitoses, cosa que és crucial per a la prevenció d’atacs de programari de segrest, però no substitueixis un factor d’autenticació ni canviïs el nivell de garantia d’autenticació, que qualifica la força de l’inici de sessió en una escala de l’1 al 3.

Com funciona 2FA?

L’autenticació de dos factors (2FA) utilitza un procés d’autenticació per garantir que els dos factors (coses que un usuari té, sap o és) siguin vàlids i estiguin vinculats al seu compte. Quan actives 2FA, el servei comparteix un secret amb l’aplicació o dispositiu d’autenticació. El lloc web comprova la teva contrasenya a cada inici de sessió i, a continuació, verifica el segon factor, com ara un codi basat en el temps o una aprovació push, per confirmar que ets tu. Per a moltes petites empreses, habilitar la verificació de dos factors és el primer pas cap a un enfocament de confiança zero.

Mètodes d’autenticació biomètrics vs. basats en aplicacions

En el model del NIST, la biometria no compta com un mètode d’inici de sessió complet. Quan es combina amb un autenticador, com ara una clau d’accés o una clau de seguretat compatible amb FIDO2/WebAuthn, les empremtes dactilars o les exploracions facials formen part del procés d’autenticació real. L’autenticació basada en aplicacions funciona de manera diferent.

Les aplicacions d’autenticació, com ara Google Authenticator o Microsoft Authenticator, generen codis basats en el temps o envien indicacions push. Desbloquejar un dispositiu amb un identificador facial no forma part del procés de verificació. Segons l’Agència de Ciberseguretat i Seguretat d’Infraestructures dels Estats Units (CISA), els codis d’autenticació basats en aplicacions són més segur que els codis SMS, que són vulnerables al frau de canvi de SIM. Però les aplicacions d’autenticació no són resistents a la suplantació d’identitat (pesca).

Per obtenir el nivell de seguretat més alt, cal triar claus de maquinari i contrasenyes vinculades al dispositiu. Aquests mètodes són resistents a la suplantació d’identitat (pesca) i recomanat per la CISA. Pensa en la possibilitat de configurar l’autenticació de dos factors (2FA) més potent per a administradors i comptes amb accés a dades d’alt valor o delicades i habilitar mètodes d’autenticació basats en aplicacions per als empleats que utilitzen aplicacions de tercers.

Per què les petites empreses haurien d’aplicar 2FA ara

La CISA recomana a les petites empreses: «Qualsevol forma d’MFA és millor que cap MFA». De fet, els inicis de sessió només amb contrasenya deixen la teva empresa vulnerable. L’«Informe d’investigacions de violacions de dades del 202» de Verizon ha descobert que les credencials robades són la font d’aproximadament el 88 % dels atacs a aplicacions web bàsiques. Aquestes filtracions provoquen usurpacions de comptes i robatori de dades.

Segons l’FBI, a partir de  l’«Informe de delictes a Internet del 2024», els nord-americans van registrar 859.532 denúncies per ciberdelicte i «van informar pèrdues superiors als 16.000 milions de dòlars, un augment del 33 % de les pèrdues respecte del 2023». Un cop els atacants comprometen el programari empresarial, cal determinar si les dades dels clients van estar exposades i comunicar les infraccions ràpidament. Els danys poden afectar les finances i la reputació de la teva empresa, i causar danys a llarg termini. Fes servir un enfocament per capes combinant mètodes d’autenticació forts amb tallafocs per a petites empreses.

Com configurar 2FA a les plataformes principals

Molts serveis en línia admeten 2FA. Pots configurar la verificació de dos factors a la configuració de seguretat o privadesa del teu compte. Abans d’implementar 2FA a tota l’empresa, instal·lar pedaços de seguretat i actualitzacions de programari i maquinari. També és important formar els empleats sobre els nous processos d’inici de sessió i les polítiques telefòniques per a la seguretat de dades.

A continuació s’explica com configurar 2FA a les plataformes següents:

• Google Workspace i Gmail: inicia la sessió a la consola d’administració de Google com a superadministrador i activa la verificació en dos passos per als empleats. Els usuaris completen la configuració als seus comptes de Google i els administradors poden fer un seguiment de la inscripció mitjançant informes d’usuaris. Podeu aplicar l’autenticació de dos factors (2FA) per a tots o per a determinats empleats, seleccionar mètodes d’aplicació i establir períodes de gràcia per a les noves contractacions.
• Microsoft 365: activa els paràmetres de seguretat predeterminats de Microsoft al centre d’administració Entra per exigir l’MFA per a tots els empleats. Els usuaris han de registrar l’aplicació Microsoft Authenticator i acceptar iniciar la sessió mitjançant push amb coincidència de números o utilitzar codis de sis dígits d’una aplicació TOTP. Actualitza a Business Premium per a l’accés condicional, inclosos mètodes i excepcions d’MFA addicionals.
• Suite empresarial Meta: configuració 2FA a Meta Business Suite per a administradors o per a tothom. Els usuaris poden obtenir un codi o aprovar inicis de sessió des de dispositius reconeguts, aplicacions de tercers, claus de seguretat o codis SMS.
• QuickBooks en línia: habilita 2FA per a QuickBooks Online a través de la secció “Inici de sessió i seguretat” del teu compte d’Intuit. Tria entre codis SMS o de veu, claus d’accés o una aplicació MFA com ara Google Authenticator. Intuit no ofereix opcions d’aplicació de 2FA.

Opcions de recuperació si perds l’accés

Segueix les pràctiques recomanades de 2FA per emmagatzemar codis de còpia de seguretat i documentar opcions de recuperació, de manera que la pèrdua d’un sol telèfon o clau de seguretat no et bloquegi l’accés a les eines d’administració o de nòmina.

Segueix aquests passos per garantir una recuperació ràpida del compte:

• Imprimeix els codis de còpia de seguretat per a 2FA. Els codis d’administrador i compartits es queden als registres físics de l’empresa i els empleats mantenen còpies fora de línia per als seus comptes.
• Registra contactes o dispositius de recuperació. Afegeix un segon número de telèfon, adreça electrònica o telèfon intel·ligent als comptes com a opció de còpia de seguretat de recuperació.
• Passos per a la recuperació de documents.Tensllistes de control per a diferents situacions, com ara telèfons perduts i comptes empresarials piratejats. Proveu les opcions de recuperació trimestralment.

Les millors aplicacions d’autenticació en dos passos per a petites empreses

Les aplicacions d’autenticació gratuïtes i els gestors de contrasenyes admeten codis TOTP estàndard i són fàcils d’utilitzar. Per a una seguretat màxima, equipeu els administradors i els equips financers amb eines d’inici de sessió sense contrasenya i resistents a la suplantació d’identitat (pesca).

Els autenticadors populars basats en aplicacions inclouen:

• Authy: emmagatzema dades 2FA xifrades al núvol mentre es gestiona l’accés localment en dispositius amb Authy.
• Microsoft Authenticator: fes servir el Microsoft Autenticador per a l’inici de sessió sense contrasenya des de diversos dispositius.

Autenticador LastPass: gestiona els inicis de sessió, incloses les claus d’accés, a través d’una caixa forta central LastPass.