Same lozinke nisu dovoljne za zaštitu vaših onlajn naloga. Kršenja podataka otkrivaju milijarde akreditiva svake godine, a čak i jake lozinke mogu biti kompromitovane putem phishing-a, keylogger-a ili brute-force napada. Dvofaktorska autentifikacija (2FA) dodaje drugi sloj odbrane — čak i ako vam neko ukrade lozinku, ne može pristupiti vašem nalogu bez drugog faktora. Ovaj vodič objašnjava šta je 2FA, kako svaka metoda funkcioniše, koji su tipovi najsigurniji i kako da je podesite na svojim najvažnijim nalozima. To je jedan od najefikasnijih pojedinačnih koraka koje možete preduzeti da zaštitite svoj digitalni život.
Tipovi dvofaktorske autentifikacije
SMS kodovi
Jednokratan kod se šalje na vaš broj telefona putem tekstualne poruke. Unesete ovaj kod posle lozinke da završite prijavu. SMS 2FA je najšire dostupna metoda — skoro svaka usluga je podržava i ne zahteva nikakve dodatne aplikacije ili hardver. Međutim, to je najslabiji oblik 2FA zbog ranjivosti prema SIM swap napadima (gde napadač ubedi vašeg operatera da prenese vaš broj telefona na njihovu SIM karticu) i eksploatacija SS7 protokola koje mogu presreti tekstualne poruke.
- Prednosti: Široko podržano, bez potrebe za aplikacijom, radi na bilo kom telefonu
- Mane: Ranjivo na SIM swap, SS7 presretanje i socijalni inženjering napadi na telefonske operatore
Autentifikacione aplikacije (TOTP)
Aplikacije Time-based One-Time Password (TOTP) generišu novi 6-cifreni kod svakih 30 sekundi koristeći deljenu tajnu i trenutno vreme. Popularne aplikacije uključuju Google Authenticator, Authy, Microsoft Authenticator i Ente Auth. TOTP je znatno sigurniji od SMS-a zato što se kodovi generišu lokalno na vašem uređaju — nema prenosnog kanala za presretanje. Kodovi rade oflajn i nisu vezani za vaš broj telefona. Ovo je preporučena 2FA metoda za većinu ljudi, koja balansira jaku bezbednost sa jednostavnošću upotrebe.
- Prednosti: Sigurno, sposobno oflajn, besplatne aplikacije dostupne, nije vezano za broj telefona
- Mane: Gubitak vašeg uređaja bez rezervnih kodova vas zaključava; phishing sajtovi još uvek mogu hvatati kodove u realnom vremenu
Hardverski sigurnosni ključevi
Fizički uređaji poput YubiKey-a, Google Titan-a i SoloKeys-a se priključuju na vaš USB port ili tapkaju preko NFC-a za autentifikaciju. Hardverski ključevi koriste FIDO2/WebAuthn standard, koji je otporan na phishing po dizajnu — ključ kriptografski verifikuje domen sajta pre autentifikacije, čineći nemogućim za phishing sajtove da presretnu. Google zahteva da svi zaposleni koriste hardverske ključeve i prijavio je nula uspešnih phishing napada od implementacije. Ključevi koštaju $25-70 i najsigurniji su dostupan 2FA metod.
- Prednosti: Najjača bezbednost, otporno na phishing, bez baterija, radi oflajn, izdržljivo
- Mane: Košta $25-70, može se izgubiti ili zaboraviti, ne podržavaju sve usluge
Biometrija
Skeneri otiska prstiju (Touch ID), prepoznavanje lica (Face ID) i skeneri irisa koriste vaše fizičke karakteristike kao faktor autentifikacije. Biometrija je zgodna — uvek je imate sa sobom i ne može se zaboraviti. Rade kao drugi faktor uz lozinke na mnogim uređajima i uslugama. Međutim, biometrija se ne može promeniti ako je kompromitovana (za razliku od lozinke) i može je prinudno pribaviti pravosuđe u mnogim jurisdikcijama. Kvalitet se značajno razlikuje među uređajima.
- Prednosti: Zgodno, uvek dostupno, brza autentifikacija, teško za replikovanje
- Mane: Ne može se promeniti ako je kompromitovana, može se pravno prinuditi, kvalitet varira po uređaju
Passkey-jevi
Passkey-jevi su najnoviji standard autentifikacije, dizajniran da potpuno zameni lozinke. Zasnovani na FIDO2/WebAuthn-u, passkey-jevi koriste kriptografiju sa javnim ključem — vaš uređaj čuva privatni ključ, a usluga čuva odgovarajući javni ključ. Autentifikacija se dešava kroz biometrijski senzor ili PIN vašeg uređaja, bez lozinke za kucanje, phishing ili krađu. Apple, Google i Microsoft su integrisali podršku za passkey u svoje operativne sisteme. Passkey-jevi se sinhronizuju kroz uređaje preko iCloud Keychain-a, Google Password Manager-a ili drugih provajdera, kombinujući bezbednost hardverskih ključeva sa zgodanošću biometrije.
- Prednosti: Otporno na phishing, bez lozinki za pamćenje, sinhronizuje kroz uređaje, brzo
- Mane: Relativno novo, još uvek nije univerzalno podržano, zabrinutosti oko zaključavanja platforme sa sinhronizovanim passkey-jevima
Najbolje prakse 2FA
- Prvo omogućite 2FA na vašem email nalogu — to je glavni ključ za sve vaše druge naloge. Ako neko kompromituje vaš email, može resetovati lozinke na svakoj usluzi povezanoj sa njim. Vaš email je najvažniji pojedinačni nalog za zaštitu sa 2FA.
- Koristite autentifikacionu aplikaciju umesto SMS-a kad god je to moguće. TOTP aplikacije su imune na SIM swap i SS7 napade. Ako usluga nudi samo 2FA zasnovan na SMS-u, koristite ga svejedno — SMS 2FA je još uvek dramatično bolji od nikakvog 2FA uopšte.
- Čuvajte rezervne kodove na sigurnom, odvojenom mestu. Čuvajte ih u menadžeru lozinki (različitom od onog zaštićenog sa 2FA), štampajte ih i čuvajte u sefu, ili ih napišite na papir sigurno sačuvan. Nikada ne čuvajte rezervne kodove u nešifrovanoj belešci na istom uređaju kao vaš autentifikator.
- Razmotrite hardverski sigurnosni ključ za vaše najkritičnije naloge — email, bankarstvo, oblačno skladištenje i menadžere lozinki. YubiKey 5 NFC ($50) radi sa USB-A, USB-C i NFC, pokrivajući praktično svaki uređaj. Registrite dva ključa po nalogu da imate rezervu.
- Redovno proveravajte koji nalozi imaju omogućen 2FA. Koristite menadžer lozinki za praćenje. Redosled prioriteta: email, bankarske i finansijske usluge, oblačno skladištenje, društvene mreže, sajtovi za kupovinu sa sačuvanim metodama plaćanja i bilo koji radni ili profesionalni nalozi.