Preskoči na glavni sadržaj

Шта је 2FA? Водич за двофакторску аутентификацију

Шта је 2FA? Како функционише двофакторска аутентификација, пет типова 2FA и како је омогућити на вашим најважнијим налозима.

Poslednje ažuriranje: 5. април 2026.

Саме лозинке нису довољне за заштиту ваших онлајн налога. Кршења података откривају милијарде акредитива сваке године, а чак и јаке лозинке могу бити компромитоване путем phishing-а, keylogger-а или brute-force напада. Двофакторска аутентификација (2FA) додаје други слој одбране — чак и ако вам неко украде лозинку, не може приступити вашем налогу без другог фактора. Овај водич објашњава шта је 2FA, како свака метода функционише, који су типови најсигурнији и како да је подесите на својим најважнијим налозима. То је један од најефикаснијих појединачних корака које можете предузети да заштитите свој дигитални живот.

Типови двофакторске аутентификације

SMS кодови

Једнократан код се шаље на ваш број телефона путем текстуалне поруке. Унесете овај код после лозинке да завршите пријаву. SMS 2FA је најшире доступна метода — скоро свака услуга је подржава и не захтева никакве додатне апликације или хардвер. Међутим, то је најслабији облик 2FA због рањивости према SIM swap нападима (где нападач убеди вашег оператера да пренесе ваш број телефона на њихову SIM картицу) и експлоатација SS7 протокола које могу пресрети текстуалне поруке.

  • Предности: Широко подржано, без потребе за апликацијом, ради на било ком телефону
  • Мане: Рањиво на SIM swap, SS7 пресретање и социјални инжењеринг напади на телефонске операторе

Аутентификационе апликације (TOTP)

Апликације Time-based One-Time Password (TOTP) генеришу нови 6-цифрени код сваких 30 секунди користећи дељену тајну и тренутно време. Популарне апликације укључују Google Authenticator, Authy, Microsoft Authenticator и Ente Auth. TOTP је знатно сигурнији од SMS-а зато што се кодови генеришу локално на вашем уређају — нема преносног канала за пресретање. Кодови раде офлајн и нису везани за ваш број телефона. Ово је препоручена 2FA метода за већину људи, која балансира јаку безбедност са једноставношћу употребе.

  • Предности: Сигурно, способно офлајн, бесплатне апликације доступне, није везано за број телефона
  • Мане: Губитак вашег уређаја без резервних кодова вас закључава; phishing сајтови још увек могу хватати кодове у реалном времену

Хардверски сигурносни кључеви

Физички уређаји попут YubiKey-а, Google Titan-а и SoloKeys-а се прикључују на ваш USB порт или тапкају преко NFC-а за аутентификацију. Хардверски кључеви користе FIDO2/WebAuthn стандард, који је отпоран на phishing по дизајну — кључ криптографски верификује домен сајта пре аутентификације, чинећи немогућим за phishing сајтове да пресретну. Google захтева да сви запослени користе хардверске кључеве и пријавио је нула успешних phishing напада од имплементације. Кључеви коштају $25-70 и најсигурнији су доступан 2FA метод.

  • Предности: Најјача безбедност, отпорно на phishing, без батерија, ради офлајн, издржљиво
  • Мане: Кошта $25-70, може се изгубити или заборавити, не подржавају све услуге

Биометрија

Скенери отиска прстију (Touch ID), препознавање лица (Face ID) и скенери ириса користе ваше физичке карактеристике као фактор аутентификације. Биометрија је згодна — увек је имате са собом и не може се заборавити. Раде као други фактор уз лозинке на многим уређајима и услугама. Међутим, биометрија се не може променити ако је компромитована (за разлику од лозинке) и може је принудно прибавити правосуђе у многим јурисдикцијама. Квалитет се значајно разликује међу уређајима.

  • Предности: Згодно, увек доступно, брза аутентификација, тешко за репликовање
  • Мане: Не може се променити ако је компромитована, може се правно принудити, квалитет варира по уређају

Passkey-јеви

Passkey-јеви су најновији стандард аутентификације, дизајниран да потпуно замени лозинке. Засновани на FIDO2/WebAuthn-у, passkey-јеви користе криптографију са јавним кључем — ваш уређај чува приватни кључ, а услуга чува одговарајући јавни кључ. Аутентификација се дешава кроз биометријски сензор или PIN вашег уређаја, без лозинке за куцање, phishing или крађу. Apple, Google и Microsoft су интегрисали подршку за passkey у своје оперативне системе. Passkey-јеви се синхронизују кроз уређаје преко iCloud Keychain-а, Google Password Manager-а или других провајдера, комбинујући безбедност хардверских кључева са згоданошћу биометрије.

  • Предности: Отпорно на phishing, без лозинки за памћење, синхронизује кроз уређаје, брзо
  • Мане: Релативно ново, још увек није универзално подржано, забринутости око закључавања платформе са синхронизованим passkey-јевима

Најбоље праксе 2FA

  1. Прво омогућите 2FA на вашем email налогу — то је главни кључ за све ваше друге налоге. Ако неко компромитује ваш email, може ресетовати лозинке на свакој услузи повезаној са њим. Ваш email је најважнији појединачни налог за заштиту са 2FA.
  2. Користите аутентификациону апликацију уместо SMS-а кад год је то могуће. TOTP апликације су имуне на SIM swap и SS7 нападе. Ако услуга нуди само 2FA заснован на SMS-у, користите га свеједно — SMS 2FA је још увек драматично бољи од никаквог 2FA уопште.
  3. Чувајте резервне кодове на сигурном, одвојеном месту. Чувајте их у менаџеру лозинки (различитом од оног заштићеног са 2FA), штампајте их и чувајте у сефу, или их напишите на папир сигурно сачуван. Никада не чувајте резервне кодове у нешифрованој белешци на истом уређају као ваш аутентификатор.
  4. Размотрите хардверски сигурносни кључ за ваше најкритичније налоге — email, банкарство, облачно складиштење и менаџере лозинки. YubiKey 5 NFC ($50) ради са USB-A, USB-C и NFC, покривајући практично сваки уређај. Регистрите два кључа по налогу да имате резерву.
  5. Редовно проверавајте који налози имају омогућен 2FA. Користите менаџер лозинки за праћење. Редослед приоритета: email, банкарске и финансијске услуге, облачно складиштење, друштвене мреже, сајтови за куповину са сачуваним методама плаћања и било који радни или професионални налози.

Како подесити 2FA

Подешавање 2FA траје мање од пет минута по налогу. Ево процеса за 2FA заснован на аутентификационој апликацији, што је препоручени метод за већину људи:

  1. Отворите безбедносна подешавања:Идите до безбедносних подешавања вашег налога. Потражите "Two-Factor Authentication," "2-Step Verification," или "Login Security." На Google-у идите на myaccount.google.com > Security > 2-Step Verification. На Apple-у идите на Settings > [Your Name] > Sign-In & Security.
  2. Изаберите 2FA метод:Изаберите ваш 2FA метод. Изаберите "Authenticator App" за најбољу равнотежу безбедности и погодности. Инсталирајте TOTP апликацију ако је немате — Google Authenticator, Authy или Ente Auth су сви солидни избори. Authy и Ente Auth нуде шифровану резерву ваших кодова у облаку.
  3. Скенирајте QR код:Скенирајте QR код приказан на екрану са вашом аутентификационом апликацијом. Апликација ће генерисати 6-цифрени код који се освежава сваких 30 секунди. Унесите тренутни код да потврдите да подешавање ради исправно.
  4. Сачувајте резервне кодове:Одмах сачувајте ваше резервне кодове. Већина услуга обезбеђује једнократне кодове за опоравак који вам омогућавају да поново добијете приступ ако изгубите вашу аутентификациону уређај. Складиштите их у менаџеру лозинки, штампајте их или их запишите и чувајте на сигурном месту одвојено од ваших уређаја. Без резервних кодова, губитак телефона може вас трајно закључати из вашег налога.

Često postavljana pitanja

Због тога су резервни кодови есенцијални. Када подесите 2FA, већина услуга обезбеђује кодове за опоравак — једнократне кодове који заобилазе 2FA. Користите један да поново добијете приступ, а затим поново подесите 2FA на вашем новом уређају. Ако користите Authy или Ente Auth, ваши кодови су резервисани у шифрованом облаку и могу се вратити на нови уређај. Google Authenticator сада такође подржава резервну копију у облаку. Ако немате резервне кодове и ниједан метод опоравка, мораћете да прођете кроз процес опоравка налога услуге, што може трајати данима или недељама и може захтевати верификацију идентитета.

Апсолутно да. Упркос рањивостима према SIM swap и SS7 нападима, SMS 2FA блокира огромну већину аутоматизованих напада. Истраживање Google-а је показало да зауставља 100% аутоматизованих ботова и 96% масовног phishing-а. Реалистичан модел претње за већину људи не укључује циљани SIM swap — то је првенствено ризик за мете високе вредности као што су власници криптовалута и јавне личности. Ако услуга нуди само SMS 2FA, омогућите га. Било који 2FA је драматично бољи од никаквог 2FA.

Ниједан метод 2FA није 100% непробојан, али тежина се енормно разликује. SMS кодови се могу пресрети путем SIM swap-а. TOTP кодови се могу phishing-овати у реалном времену софистицираним нападима који преносе кодове на стварну страницу за пријаву. Међутим, хардверски сигурносни кључеви који користе FIDO2 су отпорни на phishing по дизајну — кључ криптографски верификује домен сајта пре аутентификације, чинећи немогућим за phishing сајтове да пресретну. Passkey-јеви наслеђују исту заштиту. За већину људи, 2FA заснован на TOTP-у обезбеђује више него довољну заштиту од реалистичних претњи.

Идеално да, али стратешки приоритизујте. Ваш email налог је најкритичнији — то је механизам опоравка за све остало. Затим, омогућите 2FA на банкарским и финансијским услугама, облачном складиштењу (Google Drive, iCloud, Dropbox), друштвеним мрежама, било ком налогу са сачуваним информацијама о плаћању и вашем менаџеру лозинки. Налоге ниског приоритета без личних података можете прескочити, али циљ треба да буде 2FA свуда.

Хардверски сигурносни кључеви (YubiKey, Google Titan) који користе FIDO2/WebAuthn стандард су најсигурнији доступан облик 2FA. Они су отпорни на phishing по дизајну, захтевају физичко поседовање и немају кодове за пресретање или преношење. Passkey-јеви нуде сличну сигурност са додатним погодностима синхронизације у облаку. TOTP аутентификационе апликације су следећа најбоља опција — знатно сигурније од SMS-а. SMS је најслабији 2FA, али је још увек далеко бољи од аутентификације само са лозинком.

Да, то је њихова дизајнерска намера. Passkey-јеви комбинују лозинку и други фактор у један, phishing-отпоран корак аутентификације. Уместо да куцате лозинку и затим унесете код, ви се једноставно аутентификујете биометријским сензором или PIN-ом вашег уређаја. Основна FIDO2 криптографија пружа јачу безбедност од комбинације лозинка + TOTP. Међутим, прихватање passkey-јева још расте — не подржавају их све услуге. У прелазном периоду, наставите да користите традиционални 2FA (аутентификациона апликација или хардверски кључ) на услугама које још не подржавају passkey-јеве.