SMS 2FA je nesiguran

Q: Koje su najsigurnije vrste 2FA?

Najsigurniji drugi faktori su oni koji su otporni na phishing i ne mogu se lako presresti. To uključuje FIDO2/WebAuthn sigurnosne ključeve (npr. YubiKey, Titan Security Key), TOTP aplikacije za autentifikaciju (Google Authenticator, Authy) i Passkeys. 2FA putem SMS-a i e-maila su slabije opcije i treba ih izbjegavati ako je moguće.

Q: Zašto se SMS 2FA smatra nesigurnim?

SMS 2FA je ranjiv na napade zamjenom SIM kartice, iskorištavanje SS7 protokola i phishing. Napadači mogu preuzeti vaš broj mobitela i presresti kodove za autentifikaciju, čineći ovu metodu nepouzdanom. Bolje je koristiti sigurnosni ključ ili TOTP aplikaciju za autentifikaciju.

Q: Što ako izgubim drugi faktor (npr. mobitel, YubiKey)?

Ako izgubite pristup drugom faktoru, mogućnosti za povrat pristupa uključuju korištenje rezervnih kodova koje daje usluga, upotrebu rezervnog uređaja za autentifikaciju ili kontaktiranje tehničke podrške za povrat računa. Preporuča se postaviti više metoda autentifikacije kako biste izbjegli zaključavanje.

Q: Mogu li hakeri zaobići 2FA?

Iako 2FA značajno povećava sigurnost, neke metode mogu se zaobići kroz phishing, man-in-the-middle napade i sim-swapping. Zato koristite autentifikaciju otpornu na phishing, poput sigurnosnih hardverskih ključeva, passkeyeva ili autentifikacije vezane za uređaj.

Zašto Psono izbjegava SMS-dvofaktorsku autentifikaciju i koristi snažnije metode provjere autentičnosti

Kada je riječ o zaštiti lozinki i osjetljivih podataka, nisu sve metode dvofaktorske autentifikacije (2FA) podjednako sigurne. Mnoge usluge i dalje nude 2FA putem SMS-a, ali sigurnosno osviještene platforme poput Psona ga u potpunosti izbjegavaju u korist snažnijih opcija poput WebAuthn, YubiKey i TOTP (jednokratne lozinke temeljene na vremenu).

Ovo nije samo stvar preferencije—već nužnost za robusnu sigurnost. 2FA temeljena na SMS-u ima značajne ranjivosti, a napadi u stvarnom svijetu pokazali su kako je to laka meta za hakere. U ovom blogu pojasnit ćemo zašto je SMS 2FA slab i istaknuti stvarne napade koji dokazuju njegove mane.

🔒 Slabosti SMS-dvofaktorske autentifikacije

SMS autentifikacija je ranjiva na brojne vrste napada, uključujući:

SIM swapping (zamjena SIM-a) – Napadači prevare mobilnog operatera da prebaci broj žrtve na novu SIM karticu, presrećući sve SMS kodove.
SS7 napadi – Iskorištavaju propuste u globalnom Signaling System No. 7 (SS7) protokolu kako bi udaljeno presreli SMS poruke.
Phishing i socijalni inženjering – Prevarom navode korisnike da otkriju SMS kodove preko lažnih stranica za prijavu.

Ovi rizici čine SMS 2FA jednom od najslabijih metoda autentifikacije.

🛡️ Zašto Psono koristi snažnije 2FA metode

Psono stavlja sigurnost u prvi plan i podržava samo robusne 2FA metode, uključujući:

WebAuthn (FIDO2) – Koristi kriptografiju javnog ključa te biometrijske podatke ili hardverske sigurnosne ključeve (npr. YubiKey).
YubiKey i drugi sigurnosni ključevi – Fizički tokeni koji zahtijevaju izravan pristup radi autentifikacije.
TOTP (Google Authenticator, Authy, itd.) – Jednokratne lozinke generirane na uređaju umjesto putem SMS-a.

Ove metode su znatno sigurnije jer su otporne na phishing, ne oslanjaju se na mobilne operatere i uklanjaju rizik od udaljenog preuzimanja računa.

📢 Napadi na SMS 2FA u stvarnom svijetu

Kako bismo pojasnili zašto Psono odbija implementirati SMS-autentifikaciju, navodimo primjere stvarnih napada koji su iskoristili njegove slabosti:

1. Ciljano ugrožavanje američkih telekomunikacija od strane Kine (SS7 napadi i dr.)

U veljači 2024., FBI i CISA su izdali zajedničko upozorenje o kineskim hakerima sponzoriranim od države koji napadaju komercijalne telekomunikacijske mreže. Ti su napadi iskoristili ranjivosti u SS7 protokolu—protokolu koji se koristi za preusmjeravanje SMS poruka. Napadači su uspjeli presresti poruke za autentifikaciju, što dokazuje da se SMS 2FA može kompromitirati na sistemskoj razini.

2. SIM-swap napad na Twitter (X) izvršnog direktora Jack Dorseyja (2019.)

Godine 2019. tadašnji izvršni direktor Twittera, Jack Dorsey, izgubio je pristup svom računu zbog napada zamjenom SIM kartice. Hakeri su uspjeli uvjeriti mobilnog operatera da prebaci njegov broj na svoj SIM, što im je omogućilo presretanje 2FA SMS kodova i stjecanje kontrole nad njegovim Twitter računom.

3. Coinbase SIM swap napadi (2021.) – Ukradene tisuće dolara

Godine 2021., Coinbase je otkrio da je više od 6.000 korisnika izgubilo sredstva zbog masovnog SIM-swap napada. Hakeri su resetirali lozinke žrtava koristeći presretnute SMS kodove, stekavši potpunu kontrolu nad računima i ukrali kriptovalute.

4. Redditov sigurnosni incident iz 2018. – SMS 2FA nije pomogao

U 2018. godine, Reddit je doživio provalu podataka pri kojoj su hakeri pristupili korisničkim računima zaposlenika unatoč tome što je SMS 2FA bio uključen. Napadači su iskoristili presretnute SMS kodove kako bi zaobišli autentifikaciju i izložili osjetljive korisničke podatke.

🚀 Budućnost 2FA: Idite dalje od SMS-a

Ako još uvijek koristite SMS 2FA, vrijeme je da pređete na sigurnije alternative poput WebAuthn, YubiKey ili TOTP-autentifikacije. Psono je posvećen sigurnosti i neće kompromitirati vaš račun nudeći SMS-sign-in.

Želite li ostati sigurni? Koristite sigurnosne hardverske ključeve, TOTP aplikacije ili biometrijsku autentifikaciju—nikada se nemojte oslanjati samo na SMS-dvofaktorsku autentifikaciju.

Zaštitite svoje račune na pravi način—odbacite SMS 2FA!

Često postavljana pitanja o dvofaktorskoj autentifikaciji (2FA)

Što je dvofaktorska autentifikacija (2FA) i zašto je važna?

Dvofaktorska autentifikacija (2FA) je dodatni sloj zaštite koji zahtijeva dva oblika provjere identiteta prije nego što se omogući pristup računu. Umjesto same lozinke, potreban je i drugi faktor, kao na primjer:

Jednokratni kod iz aplikacije za autentifikaciju (TOTP)
Hardverski sigurnosni ključ (npr. YubiKey, Titan Security Key)
Biometrijska autentifikacija (otisak prsta, prepoznavanje lica)

Time se značajno smanjuje rizik od neovlaštenog pristupa, čak i ako netko dođe do vaše lozinke.

Koje su najsigurnije vrste 2FA?

Najsigurniji drugi faktori su oni koji su otporni na phishing i ne mogu se lako presresti. To uključuje:

✅ FIDO2/WebAuthn sigurnosni ključevi (npr. YubiKey, Titan Security Key)
✅ TOTP aplikacije za autentifikaciju (Google Authenticator, Authy, Aegis)
✅ Passkeys (autentifikacija bez lozinke, koristeći biometriju ili hardverske ključeve)

Slabije metode (izbjegavati):

❌ 2FA putem SMS-a – Podložan napadima zamjene SIM kartice i SS7 iskorištavanja
❌ 2FA putem e-maila – Može biti kompromitiran ako vam je e-mail hakiran

Zašto se SMS 2FA smatra nesigurnim?

SMS 2FA je rizičan zbog više vrsta napada, kao što su:

SIM swap napadi – Hakeri prevare vašegteleoperatera i preusmjere vaš broj na svoj SIM, tako da primaju vaše 2FA kodove.
SS7 iskorištavanja – Napadači presreću SMS poruke korištenjem slabosti telekom infrastrukture.
Phishing napadi – Lažne stranice korisnike navode da upišu SMS kodove, omogućujući napadačima prijavu.

🔹 Bolje alternative: Umjesto SMS 2FA koristite sigurnosne hardverske ključeve ili TOTP aplikacije.

Što ako izgubim drugi faktor (npr. mobitel, YubiKey)?

Ako izgubite pristup drugom faktoru, račun možete povratiti na sljedeće načine:

Korištenjem rezervnih kodova – Mnoge usluge prilikom postavljanja 2FA nude jednokratne sigurnosne kodove. Čuvajte ih na sigurnom.
Korištenjem rezervnog uređaja – Neke aplikacije za autentifikaciju omogućuju spremanje TOTP kodova na više uređaja.
Kontaktiranjem podrške – Neke usluge omogućuju povrat računa, ali to može potrajati i tražiti verifikaciju identiteta.
Korištenjem drugog sigurnosnog ključa – Ako usluga dopušta, registrirajte više sigurnosnih ključeva (glavni + rezervni).

🔹 Savjet: Uvijek postavite više metoda autentifikacije za slučaj gubitka jedne.

Mogu li hakeri zaobići 2FA?

Iako 2FA znatno poboljšava sigurnost, neke metode se mogu zaobići naprednim napadima:

🚨 Najčešće vrste napada:

Phishing napadi – Lažne stranice “hvataju” i lozinku i 2FA kod korisnika.
Man-in-the-Middle (MitM) napadi – Presretanje autentifikacijskih tokena preko nesigurnih mreža.
SIM swapping – Preusmjeravanje SMS kodova na napadačev uređaj.

✅ Kako se zaštititi:

Koristite autentifikaciju otpornu na phishing (WebAuthn, passkeys, sigurnosni ključevi).
Omogućite autentifikaciju vezanu za uređaj (tokeni se ne mogu ponovno iskoristiti na udaljenosti).
Pripazite na sumnjive stranice za prijavu – Uvijek provjerite adresu (URL) prije upisivanja podataka.

napisao Sascha Pfeiffer dana February 12, 2025

Tražite li još?

Pogledajte naše najnovije članke ovdje!