Двофактор — и зашто су СМС кодови слаба карика
25. јун 2026. · 3 мин читања · Коментари
Овај чланак садржи партнерске везе. Ако купујете преко њих, можда ћемо зарадити провизију — без додатних трошкова за вас.
Двофакторска аутентификација је једна од најефикаснијих безбедносних надоградњи које можете направити. Али нису сви двофактори исти — а најчешћа верзија, она коју већина услуга подразумевано, има специфичну, добро документовану рањивост за коју већина људи не зна.
Двофакторска аутентификација функционише тако што захтева нешто што знате (вашу лозинку) и нешто што имате (обично код). Чак и ако вам неко украде лозинку, не може се пријавити без другог фактора. Заиста је добро. Питање је шта значи „нешто што имаш“.
Проблем са СМС кодовима
СМС кодови се шаљу на ваш број телефона. Ваш телефонски број контролише ваш оператер. А оператерима се може манипулисати - понекад путем друштвеног инжењеринга, понекад путем директног подмићивања запослених - да би пренели ваш број на СИМ картицу коју нападач контролише. Ово се зове замена СИМ картице.
Када се ваш број пренесе, сваки СМС код послат на "ваш" телефон иде на уређај нападача. Ваша лозинка плус било који двофактор заснован на СМС-у је сада њихов. Мете високе вредности — људи са значајном криптовалутом, руководиоци, новинари — се редовно угрожавају на овај начин.
Шта користити уместо тога
Апликација за аутентификацију генерише кодове засноване на времену на вашем уређају. Не преносе се преко телефонске мреже — ниједна замена СИМ картице их не може пресрести. Апликације као што су Гоогле Аутхентицатор или Аутхи раде на овај начин. НордПасс такође укључује уграђени аутентификатор, што значи да ваши 2ФА кодови и лозинке живе у истом безбедном трезору.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
Двофактор вреди имати чак иу најслабијем облику. СМС 2ФА је много бољи од не 2ФА. Али ако ћете га користити, потребно је око два минута по налогу за надоградњу са СМС-а на апликацију за аутентификацију — а јаз у заштити је значајан.
Често постављана питања
What is credential stuffing?+
Пуњење акредитива је када нападачи узимају комбинације е-поште и лозинке откривене у једном кршењу и аутоматски их испробавају против других услуга. Ако сте reuse passwords, кршење на једној локацији даје нападачима приступ сваком налогу са истим акредитивима.
Is it safe to store all your passwords in one place?+
Да, када користите реномирану password manager. Шифровани трезор је далеко безбеднији од поново коришћених или слабих лозинки. Менаџери лозинки као што је НордПасс користе архитектуру без знања — што значи да чак ни компанија не може да види ваше сачуване лозинке.
What is two-factor authentication and should I use it?+
Двофакторска аутентификација (2ФА) захтева други корак верификације поред ваше лозинке — обично код из апликације. Користите апликацију за аутентификацију (Гоогле Аутхентицатор, Аутхи) уместо СМС кодова, који су рањиви на нападе замене СИМ картице.
