isplay:none" src="https://www.facebook.com/tr?id=1498566888174227&ev=PageView&noscript=1" />
ADVERTORIAL

Двофактор — и зашто су СМС кодови слаба карика

25. јун 2026. · 3 мин читања · Коментари

Овај чланак садржи партнерске везе. Ако купујете преко њих, можда ћемо зарадити провизију — без додатних трошкова за вас.

Двофакторска аутентификација је једна од најефикаснијих безбедносних надоградњи које можете направити. Али нису сви двофактори исти — а најчешћа верзија, она коју већина услуга подразумевано, има специфичну, добро документовану рањивост за коју већина људи не зна.

Двофакторска аутентификација функционише тако што захтева нешто што знате (вашу лозинку) и нешто што имате (обично код). Чак и ако вам неко украде лозинку, не може се пријавити без другог фактора. Заиста је добро. Питање је шта значи „нешто што имаш“.

Проблем са СМС кодовима

СМС кодови се шаљу на ваш број телефона. Ваш телефонски број контролише ваш оператер. А оператерима се може манипулисати - понекад путем друштвеног инжењеринга, понекад путем директног подмићивања запослених - да би пренели ваш број на СИМ картицу коју нападач контролише. Ово се зове замена СИМ картице.

Када се ваш број пренесе, сваки СМС код послат на "ваш" телефон иде на уређај нападача. Ваша лозинка плус било који двофактор заснован на СМС-у је сада њихов. Мете високе вредности — људи са значајном криптовалутом, руководиоци, новинари — се редовно угрожавају на овај начин.

Двофакторске методе — релативна снага
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
Апликација Аутхентицатор (ТОТП)
Good
Real-time phishing (if attacker acts fast)
Хардверски кључ (кључ за приступ)
Strong
Физичка крађа кључа

Шта користити уместо тога

Апликација за аутентификацију генерише кодове засноване на времену на вашем уређају. Не преносе се преко телефонске мреже — ниједна замена СИМ картице их не може пресрести. Апликације као што су Гоогле Аутхентицатор или Аутхи раде на овај начин. НордПасс такође укључује уграђени аутентификатор, што значи да ваши 2ФА кодови и лозинке живе у истом безбедном трезору.

Двофактор вреди имати чак иу најслабијем облику. СМС 2ФА је много бољи од не 2ФА. Али ако ћете га користити, потребно је око два минута по налогу за надоградњу са СМС-а на апликацију за аутентификацију — а јаз у заштити је значајан.

Често постављана питања

What is credential stuffing?+

Пуњење акредитива је када нападачи узимају комбинације е-поште и лозинке откривене у једном кршењу и аутоматски их испробавају против других услуга. Ако сте reuse passwords, кршење на једној локацији даје нападачима приступ сваком налогу са истим акредитивима.

Is it safe to store all your passwords in one place?+

Да, када користите реномирану password manager. Шифровани трезор је далеко безбеднији од поново коришћених или слабих лозинки. Менаџери лозинки као што је НордПасс користе архитектуру без знања — што значи да чак ни компанија не може да види ваше сачуване лозинке.

What is two-factor authentication and should I use it?+

Двофакторска аутентификација (2ФА) захтева други корак верификације поред ваше лозинке — обично код из апликације. Користите апликацију за аутентификацију (Гоогле Аутхентицатор, Аутхи) уместо СМС кодова, који су рањиви на нападе замене СИМ картице.

Лозинке и 2ФА кодови у једном безбедном трезору
НордПасс чува ваше лозинке и генерише ваше кодове за аутентификацију. Једна апликација, једна главна лозинка, све је синхронизовано на вашим уређајима.
⭐ 4,5/5 · милиони заштићених лозинки
Try NordPass →

Sam Feldman
Sam Feldman
„Добар банер нема фиксну форму и нема инхерентно значење.
Austin, TX · https://sams.blog/weekly
RELATED READING
Катастрофа лозинке о којој нико не размишља
Поново користите једну лозинку. Хакери рачунају на то.
Менаџери лозинки, објашњено за нормалне људе
Ускоро ћете добити тачно безбедносно подешавање које сам направио за своје родитеље - оно које заправо функционише

Већина људи има један слој заштите. Недостају им три.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20 минута, од почетка до краја — онда ради у позадини. Унесите своју е-пошту и послаћу вам је.

Нешто је пошло наопако — покушајте поново.
Ушли сте — ускоро проверите пријемно сандуче.
100% поверљиво. Откажите претплату у било ком тренутку.