Dvofaktorski — in zakaj so SMS kode šibki člen
25. jun 2026 · 3 min branja · Komentarji
Ta članek vsebuje pridružene povezave. Če kupujete prek njih, lahko zaslužimo provizijo – brez dodatnih stroškov za vas.
Dvostopenjska avtentikacija je ena najučinkovitejših varnostnih nadgradenj, ki jih lahko izvedete. Vendar niso vsi dvofaktorji enaki – in najpogostejša različica, tista, ki jo večina storitev privzeto uporablja, ima specifično, dobro dokumentirano ranljivost, za katero večina ljudi ne ve.
Dvostopenjska avtentikacija deluje tako, da zahteva nekaj, kar poznate (vaše geslo), in nekaj, kar imate (običajno kodo). Tudi če nekdo ukrade vaše geslo, se ne more prijaviti brez drugega dejavnika. Res je dobro. Vprašanje je, kaj pomeni "nekaj, kar imaš".
Težava s kodami SMS
SMS kode so poslane na vašo telefonsko številko. Vašo telefonsko številko nadzoruje vaš operater. Z operaterji je mogoče manipulirati – včasih s socialnim inženiringom, včasih z odkritim podkupovanjem zaposlenih – da vašo številko prenesejo na kartico SIM, ki jo napadalec nadzoruje. To se imenuje zamenjava kartice SIM.
Ko je vaša številka prenesena, gre vsaka koda SMS, poslana na "vaš" telefon, v napravo napadalca. Vaše geslo in morebitna dvofaktorska sporočila SMS so zdaj njihova. Na ta način so redno ogrožene tarče visoke vrednosti – ljudje s precejšnjo kriptovaluto, vodstveni delavci, novinarji.
Kaj uporabiti namesto tega
Aplikacija za preverjanje pristnosti ustvari kode, ki temeljijo na času, v vaši napravi. Ne prenašajo se prek telefonskega omrežja — nobena zamenjava SIM jih ne more prestreči. Aplikacije, kot sta Google Authenticator ali Authy, delujejo na ta način. NordPass vključuje tudi vgrajen overitelj, kar pomeni, da so vaše kode 2FA in gesla v istem varnem trezorju.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
Dvofaktor se splača imeti tudi v najšibkejši obliki. SMS 2FA je veliko boljši kot brez 2FA. Če pa ga boste uporabljali, traja približno dve minuti na račun, da nadgradite s SMS na aplikacijo za preverjanje pristnosti – vrzel v zaščiti pa je precejšnja.
Pogosta vprašanja
What is credential stuffing?+
Polnjenje poverilnic je, ko napadalci vzamejo kombinacije e-pošte in gesel, ki so bile izpostavljene v enem vdoru, in jih samodejno preizkusijo z drugimi storitvami. Če ste »0«, napadalcem omogoči vdor na enem mestu dostop do vseh računov z enakimi poverilnicami.
Is it safe to store all your passwords in one place?+
Da, pri uporabi ugledne »0«. Šifrirani trezor je veliko bolj varen kot ponovno uporabljena ali šibka gesla. Upravljalniki gesel, kot je NordPass, uporabljajo arhitekturo brez znanja, kar pomeni, da celo podjetje ne more videti vaših shranjenih gesel.
What is two-factor authentication and should I use it?+
Dvostopenjska avtentikacija (2FA) poleg vašega gesla zahteva še drugi korak preverjanja – običajno kodo iz aplikacije. Uporabite aplikacijo za preverjanje pristnosti (Google Authenticator, Authy) namesto kod SMS, ki so ranljive za napade zamenjave kartice SIM.
