Dvofaktorska autentikacija: SMS, app ili fizički ključ — što zapravo štiti vaš račun
SMS 2FA blokira botove, ali SIM swap je srušio SEC-ov X račun. Usporedba sigurnosti SMS-a, autentifikatora i hardware ključeva s pravim napadima i brojevima.
Siječanj 2024. — netko je preuzeo X (bivši Twitter) račun Komisije za vrijednosne papire i burzu SAD-a i objavio vijest da je Bitcoin ETF odobren. Bitcoin je skočio više od 1.000 dolara za svega nekoliko minuta. Napad nije koristio ni zero-day exploit ni sofisticirani malware. Koristio je SIM swap — preuzimanje telefonskog broja žrtve — i zaobišao SMS autentifikaciju kakvu koriste milijuni korisnika koji misle da su zaštićeni.
To nije bio napad na lošu lozinku. Bila je uključena dvofaktorska autentikacija. Samo pogrešna vrsta.
Zašto lozinka sama više nije dovoljna
Lozinke su dizajnirane za drugačije doba interneta. Sredinom 1990-ih servisi su bili izolirani, baze podataka male, a napadi rijetki. Danas je situacija fundamentalno drugačija: svake godine procure milijarde kombinacija korisničkih imena i lozinki iz hakovanih servisa, a te baze slobodno kruže forumima. Unesite svoju e-mail adresu na HaveIBeenPwned.com — vjerojatno ćete pronaći barem jednu procuru u kojoj se nalaze vaši podaci.
Problem nije samo jačina lozinke. Čak i savršena nasumična lozinka postaje beskorisna ako procuri baza podataka servisa koji je čuva u lošem formatu. Adobe, LinkedIn, Yahoo, Dropbox — sve su doživjele masovne procure. Credential stuffing napadi — automatizirano probavanje procurlih kombinacija na stotinama servisa — danas su rutinski. Napadačke grupe to rade s botnet mrežama potpuno bez ručnog rada.
Dvofaktorska autentikacija (2FA) dodaje drugi sloj: čak i ako netko ima vašu lozinku, bez drugog faktora ne može ući. Prema Googleovom istraživanju, dodavanje bilo kakvog oblika 2FA blokira 96% bulk phishing napada i 100% automatiziranih bot napada. Ali postoji zamka: nisu svi oblici 2FA jednako sigurni. Razlika između metoda nije tehnički detalj za entuzijaste — to je razlika između lažnog osjećaja sigurnosti i stvarne zaštite.
Kako funkcionira dvofaktorska autentikacija
Logika je jednostavna: da biste ušli, morate dokazati nešto što znate (lozinka) i nešto što imate (telefon, aplikacija, fizički ključ) ili nešto što jeste (biometrija). Napadaču koji ukrade lozinku nedostaje drugi faktor — i tu staje.
U praksi postoje tri dominantne metode: SMS kodovi, aplikacije za autentikaciju (TOTP — Time-based One-Time Password) i fizički hardware ključevi. Svaka nudi bitno drugačiju razinu sigurnosti uz drugačiji stupanj udobnosti. Odabir metode nije sitna razlika u nijansama — može biti razlika između zaštićenog i otetog računa.
SMS: najrasprostranjeniji i najslabiji
SMS kodovi su sveprisutni — gotovo svaka banka, Gmail, Facebook i državni portal nude ih. Razlog je jednostavan: nema što instalirati, svi imaju mobitel. Ali sigurnosni istraživači ih ne vole, i to s razlogom koji seže dublje od "hakeri su pametni".
Problem je infrastrukturni. SMS poruke putuju kroz SS7 (Signalling System 7) protokol — tehnologiju dizajniranu kasnih 1970-ih, u doba kada mobilnih uređaja nije ni bilo. SS7 nije imao sigurnost kao prioritet. Istraživači su opetovano dokazali da je, uz odgovarajuću opremu i pristup telekomunikacijskim mrežama, moguće presresti SMS poruke s druge strane planeta. Nisu to teorijski napadi — dokumentirani su slučajevi iz prave operacije.
Još opasniji je SIM swap — napad koji ne zahtijeva nikakvu hakersku opremu, samo socijalni inženjering. Napadač nazove vašeg mobilnog operatera, tvrdi da ste vi i da ste izgubili SIM, te traži prijenos broja na novu karticu. Kada to uspije, sve poruke — uključujući 2FA kodove — stižu napadaču, a ne vama.
Američki FBI bilježi gubitke od 26 milijuna dolara od SIM swap napada samo u 2024. godini. U Britaniji su incidenti porasli za nevjerojatnih 1.055% u jednoj godini — s 289 na gotovo 3.000 slučajeva. T-Mobile je u ožujku 2025. bio naređen da isplati 33 milijuna dolara žrtvi čija je kripto imovina od 38 milijuna dolara ukradena upravo kroz SIM swap. To nisu rubni slučajevi.
SIM swap: napad koji traje manje od pet minuta
Posebno zabrinjava lakoća socijalne manipulacije. Dokumentirani su slučajevi u kojima su zaposlenici mobilnih operatera plaćeni 300 dolara po uspješnom prenosu broja. Kada napadač preuzme vaš broj, redosljed napada je predvidljiv: e-mail lozinka — bankovni račun — kripto burza. Sve u roku od nekoliko minuta.
Autentifikatorske aplikacije: bolji kompromis
Google Authenticator, Authy, Microsoft Authenticator i slični alati rade na posve drugačijem principu. Generiraju TOTP kodove — šesteroznamenkaste kombinacije koje se mijenjaju svakih 30 sekundi. Kod se generira lokalno na vašem uređaju, bez ikakve mrežne veze u trenutku generiranja. Napadač koji preuzme vaš telefonski broj nema pristup tim kodovima — oni nikad ne putuju SMS-om.
Jedina ozbiljna ranjivost aplikacijskih authenticatora jest phishing u realnom vremenu: napadač vas navede da sami unesete kod na lažnoj stranici, a oni ga instantno koriste. Ali to zahtijeva aktivnu prevaru i prisutnost napadača u trenutku napada — daleko složenije od pasivnog SIM swapa koji se može provesti s drugog kontinenta.
Preporuka za backup: koristite Authy ili 1Password koji nude cloud backup — da ne izgubite pristup svim računima kada promijenite ili izgubite telefon. Nemojte koristiti Google Authenticator bez backupa ako nemate protokol za zamjenu uređaja.
Hardware ključevi: zlatni standard
YubiKey, Google Titan Key, Nitrokey — fizički USB ili NFC uređaji koji implementiraju FIDO2/WebAuthn standard. Google je 2018. uveo obavezu hardware ključeva za svih 85.000+ zaposlenika. Rezultat: nula uspješnih phishing napada od tada do danas.
Zašto su neprobojni za phishing? Ključ kriptografski potpisuje autentikaciju koristeći domenu web stranice. Ako ste na lažnoj kopiji stranice, ključ to "zna" i odbija autentikaciju — čak i ako vi ne primijetite razliku u URL-u. SIM swap, presretanje, phishing u realnom vremenu — ništa ne funkcionira. Bez fizičkog ključa u ruci, nema ulaska.
Mana: cijena (YubiKey od 25 do 60 eura), plus neke web stranice još ne podržavaju FIDO2. Za kritične račune — poslovni email, bankovni pristup, kripto burze, cloud infrastruktura — investicija se bez sumnje isplati.
Praktični vodič: koji odabrati za što
Nije svaki račun jednako vrijedan. Razumna podjela po prioritetu:
Hardware ključ: poslovni email i Google Workspace, kripto burze i novčanici, VPN pristup, AWS/Azure konzola, bilo što sa financijskim podacima.
Autentifikatorska aplikacija: privatni Gmail i Outlook, društvene mreže, online kupovina s karticom, gaming računi s vrijednim sadržajem, cloud storage.
SMS 2FA — samo kao privremeno rješenje ili ako nema bolje opcije: stariji servisi koji ne podržavaju ništa drugo, manje kritični servisi, situacija gdje koristite isti uređaj za primanje i unos koda (što samo po sebi smanjuje sigurnost).
Najvažniji korak koji možete napraviti danas: ako koristite SMS za Gmail, banku ili kripto — promijenite na aplikacijski authenticator. Google Authenticator ili Authy postavite za manje od tri minute. Nije komplicirano, a razlika u sigurnosti je ogromna.
Lozinke su bile dovoljna zaštita sredinom 1990-ih. U 2026. godini, jedina razlika između "netko me nikad nije hakirao" i "netko me još nije hakirao" jest koji drugi faktor koristite — i razumijete li zašto SMS nije pravi odgovor.
Izvori i dodatno čitanje
- Google: Security keys eliminated phishing for 85,000 employees (Krebs on Security)
- FBI IC3: SIM Swap statistics 2024 (Deepstrike)
- T-Mobile $33M arbitration ruling after SIM swap (CoinLaw)
- UK SIM swap surge 1,055% in 2024 (Keepnet Labs)
- NIST SP 800-63B: restricting SMS as MFA
- 2FA methods compared: SMS vs App vs Hardware Key (KvaPay)
Više članaka
- ugljični otisakAI energija
Ugljični otisak interneta: jedan ChatGPT upit troši 10× više struje od Google pretrage
1. lipnja 2026.
- e-otpadrecikliranje
E-otpad: 72 milijuna tona godišnje i samo 20% se pravilno reciklira
1. lipnja 2026.
- sleep trackingwearables
Sleep tracking: vaš smartwatch kaže 23% deep sleep — ali možete li mu vjerovati?
1. lipnja 2026.