Configurare 2FA cu TOTP: ghid complet (Google Authenticator / Authy / 1Password)
Activare autentificare în doi pași cu TOTP, backup codes, recuperare cont pierdut și forțarea 2FA pe toată echipa.
De ce TOTP și nu SMS
Codurile prin SMS pot fi interceptate prin SIM-swap (atacant convinge operatorul telefonic să mute numărul tău pe altă SIM). TOTP (Time-based One-Time Password, RFC 6238) generează codurile local pe telefon dintr-un seed comun și ora curentă — nu trece prin rețea, nu poate fi furat de la distanță. Pentru un cont SaaS care ține date de respondenți (PII pe formularele tale), TOTP e standardul minim pe care îl recomandăm explicit. Megaforms suportă orice aplicație TOTP compatibilă RFC 6238: Google Authenticator, Authy, 1Password, Bitwarden, Microsoft Authenticator, Aegis pe Android. NU forțăm o aplicație anume — alegi tu.
Pasul 1: deschide setările de securitate
Loghează-te la panoul de control Megaforms. Click avatarul în colțul dreapta-sus → Settings → Securitate → secțiunea „Autentificare în doi pași (2FA)”. Dacă vezi mesajul „2FA inactiv” cu buton verde „Activează 2FA”, continuă la pasul 2. Dacă 2FA e deja activ și vrei să schimbi aplicația, dezactivează întâi cu parola curentă, apoi reactivează cu noua aplicație.
Pasul 2: scanează codul QR
Apare un cod QR pe ecran și, sub el, un șir de 32 caractere (același seed în format text — îl folosești dacă aplicația nu poate scana QR). Deschide aplicația ta TOTP, alege „Adaugă cont” → „Scanare cod QR” → orientează camera spre ecran. În 1-2 secunde, contul apare în listă cu numele „Megaforms (email-tău@example.com)” și un cod de 6 cifre care se schimbă la 30 secunde. Dacă scanarea nu merge (lumină slabă, camera defectă), alege „Adăugare manuală” și introdu manual cele 32 caractere.
Pasul 3: confirmă codul
Sub QR, în panoul Megaforms, e un câmp „Cod de verificare”. Introdu cele 6 cifre afișate de aplicație ACUM (atenție — se schimbă la 30s, dacă rămân <5s, așteaptă să se reseteze pentru un cod proaspăt). Click „Verifică”. Dacă codul e corect, 2FA se activează imediat și apare ecranul cu codurile de rezervă.
Pasul 4: salvează codurile de rezervă (backup codes)
Apar 10 coduri din 8 caractere fiecare. Aceste coduri sunt singurul fallback dacă pierzi telefonul. Le vezi O SINGURĂ DATĂ — după ce închizi ecranul, nu mai sunt afișate niciodată. Recomandare: copy-paste în managerul tău de parole (1Password, Bitwarden) în notes pe contul Megaforms, plus print fizic într-un seif acasă. NU le salva în Notes pe telefonul cu aplicația TOTP — dacă pierzi telefonul, pierzi și backup-ul. Fiecare cod e folosibil O SINGURĂ DATĂ; după folosire e marcat consumat în baza de date.
Cum funcționează login după activare
Următoarea oară când te loghezi: email + parolă ca de obicei → apare ecran nou „Cod de verificare 2FA” → deschizi aplicația → tastezi cele 6 cifre → autentificat. Sesiunea ține 30 zile pe device-ul cu opțiunea „Memorează acest dispozitiv” bifată. Pe device nou, mereu se cere 2FA. Sesiunile vechi nu se invalidează la activarea 2FA — dacă vrei force logout, Settings → Securitate → „Deconectează toate sesiunile”.
Recuperare cont când ai pierdut telefonul
Dacă ai backup codes salvate: introduci unul în loc de cod TOTP la login → autentificat → dezactivezi 2FA → reactivezi cu noua aplicație → primești 10 backup codes noi. Dacă NU ai backup codes (greșeală frecventă): scrie la support@megapromoting.md de pe email-ul contului → trimitem un challenge de identitate (răspunsuri la întrebări despre cont — data creării, ultimul plan, etc) → după validare manuală în max 48h, dezactivăm noi 2FA. NU putem dezactiva pentru oricine cere fără verificare — protecția contului.
Forțarea 2FA pe toată echipa (planuri Business+)
Owner-ul workspace-ului poate cere ca toți membrii echipei să aibă 2FA activ pentru a accesa proiectele. Settings → Echipă → toggle „Cere 2FA pentru toți membrii”. Membrii fără 2FA primesc grace period 7 zile cu banner persistent „Activează 2FA până în [data]”, după care login-ul lor e blocat până configurează. Recomandat pentru clinici, agenții juridice, orice domeniu cu date sensibile.
Probleme frecvente
„Codul nu funcționează” în 95% cazuri = ora telefonului desincronizată față de server. Verifică în setările telefonului „Ora setată automat” = activat. TOTP tolerează deriva ±30 secunde, dincolo de asta refuză codul. „Am scanat QR dar nu apare cont” = aplicația nu suportă format URI otpauth — încearcă altă aplicație (Authy e cea mai tolerantă). „Nu pot scana, prea departe” = folosește input manual cu cele 32 caractere afișate sub QR.