Backup strategija 3-2-1: kako ne izgubiti podatke
Backup strategija 3-2-1: tri kopije, dva medija, jedna offsite. Saznajte kako zastititi podatke od kvara, ljudske greske
Pročitaj
Dvofaktorska autentifikacija (2FA) je sigurnosni mehanizam koji uz lozinku traži i drugi, neovisni dokaz identiteta: najčešće jednokratni kod, fizički ključ ili potvrdu na mobitelu. Za firme je to jedna od mjera s najboljim omjerom troška i učinka. I kada napadač dođe do lozinke (phishing, curenje baze, ponavljanje lozinki), bez drugog faktora ne može pristupiti računu. Preporuka je uvesti 2FA prvo na e-mail, administratorske i VPN/udaljene pristupe, a zatim na sve poslovne aplikacije.
Naše rješenje
Cyber zaštita za firme - kompletna zaštita ljudi, podataka i sustava. Ne morate sami; mi to rješavamo za vašu firmu. Zatražite besplatnu procjenu.
Što je dvofaktorska autentifikacija i zašto lozinka više nije dovoljna
Autentifikacija se klasično dijeli na tri kategorije faktora: nešto što znate (lozinka, PIN), nešto što imate (telefon, hardverski ključ, smart kartica) i nešto što jeste (otisak prsta, lice). Dvofaktorska autentifikacija znači da korisnik mora dokazati identitet pomoću dva faktora iz različitih kategorija. Kombinacija lozinke i sigurnosnog pitanja nije prava 2FA, jer su oba „nešto što znate“ i oba se mogu otkriti istim napadom.
Lozinke su same po sebi slaba točka. Korisnici ih ponavljaju na više servisa, biraju predvidive nizove i nasjedaju na phishing. Kada lozinka procuri, bilo kroz probijenu bazu nekog drugog servisa ili kroz lažnu stranicu za prijavu, napadač je pokušava iskoristiti na poslovnim sustavima. Dvofaktorska autentifikacija prekida taj lanac: ukradena lozinka bez drugog faktora postaje gotovo bezvrijedna. Za firme u BiH i regiji, gdje su mete sve češće male i srednje tvrtke, to je razlika između neugodnog incidenta i potpunog gubitka kontrole nad e-mailom i poslovnim podacima.
2FA ili MFA: pojašnjenje pojmova
Termini se često miješaju. MFA (višefaktorska autentifikacija) je širi pojam koji znači „dva ili više faktora“. 2FA je poseban slučaj MFA s točno dva faktora. U praksi većina firmi koristi upravo dva faktora, pa se izrazi koriste gotovo kao sinonimi. Bitnije od naziva je da drugi faktor bude stvarno neovisan o lozinci i otporan na phishing koliko god je to izvedivo.
Metode 2FA: usporedba po sigurnosti i upotrebljivosti
Nisu sve metode jednako jake. Sljedeća tablica daje realan pregled za poslovno okruženje:
| Metoda | Razina sigurnosti | Glavni rizik | Prikladno za |
|---|---|---|---|
| SMS kod | Niska do srednja | SIM-swap, presretanje, phishing koda | Krajnja rezerva kada ništa bolje nije dostupno |
| E-mail kod | Niska | Ako je e-mail kompromitiran, faktor pada zajedno s njim | Manje osjetljivi servisi |
| Aplikacija s TOTP kodom (npr. authenticator) | Srednja do visoka | Phishing koda u stvarnom vremenu, krađa uređaja bez zaštite | Većina poslovnih aplikacija |
| Push notifikacija s potvrdom | Srednja do visoka | „MFA fatigue“: korisnik iz navike odobri lažni zahtjev | Firme s upravljanim identitetom (npr. SSO) |
| Hardverski ključ (FIDO2 / WebAuthn) | Najviša | Gubitak ključa (rješava se rezervnim ključem) | Administratori, kritični pristupi |
Zašto je SMS najslabiji izbor
SMS kod je popularan jer ne traži dodatnu aplikaciju, ali je najranjiviji. Napad poznat kao SIM-swap omogućuje preusmjeravanje broja na napadačevu SIM karticu, nakon čega kodovi stižu njemu. Uz to, SMS kod se može „upecati“ lažnom stranicom u stvarnom vremenu. SMS je bolji nego ništa, ali ga ne treba koristiti kao primarni faktor za administratore, financije ili pristup e-mailu.
TOTP aplikacije: dobar standard za većinu
Aplikacije koje generiraju vremenski ograničen jednokratni kod (TOTP) ne ovise o mobilnoj mreži i rade offline. Kod se mijenja svakih tridesetak sekundi i vrijedi kratko. Za većinu poslovnih scenarija to je razuman, jeftin i robustan izbor. Slaba točka ostaje phishing: ako korisnik upiše kod na lažnu stranicu dovoljno brzo, napadač ga može proslijediti dalje.
Hardverski ključevi (FIDO2/WebAuthn): otpornost na phishing
FIDO2 ključevi koriste kriptografiju javnog ključa i vezani su za domenu servisa. To znači da ključ jednostavno neće raditi na lažnoj domeni, čime se phishing drugog faktora praktički eliminira. Za najosjetljivije pristupe, poput administratorskih računa, upravljanja domenom i financijskih sustava, hardverski ključ je najbolji izbor. Preporuka je uvijek imati i rezervni ključ kako gubitak jednog ne bi zaključao korisnika.
Kako uvesti 2FA u firmi: redoslijed koji ima smisla
Implementacija nije sve-ili-ništa. Uvodite po prioritetu rizika:
- Korak 1: popis kritičnih pristupa. Identificirajte gdje bi proboj bio najbolniji: poslovni e-mail, administratorski računi (domena, hosting, cloud), VPN i udaljeni pristup, bankarske i računovodstvene aplikacije.
- Korak 2: zaštita administratora i e-maila prvo. Kompromitirani administrator znači kompromitiran cijeli sustav, a e-mail je „ključ“ za resetiranje ostalih lozinki. Ova dva pristupa imaju najveći prioritet.
- Korak 3: odabir metode po ulozi. Hardverski ključevi za administratore i kritične uloge, TOTP aplikacija za ostale zaposlenike, SMS samo kao krajnja rezerva.
- Korak 4: rezervni kodovi i procedura oporavka. Svaki korisnik treba sigurno pohranjene rezervne kodove i jasan postupak za slučaj da izgubi telefon ili ključ. Loš oporavak je čest način zaobilaženja 2FA.
- Korak 5: centralizacija kroz SSO. Gdje je moguće, povežite aplikacije na jedinstvenu prijavu (SSO) s nametnutom 2FA. Tako se politika provodi na jednom mjestu, a ne aplikaciju po aplikaciju.
- Korak 6: obavezna politika, ne dobrovoljna. 2FA koja je opcionalna u praksi se slabo koristi. Uvedite je kao obavezu, uz kratku edukaciju zaposlenika.
Za firme koje nemaju vlastiti IT tim, ovaj proces je dobra prilika da se obavi i šira procjena sigurnosti. Pregled konfiguracije identiteta, pravila lozinki i izloženih servisa dio je svakog ozbiljnog sigurnosnog pregleda koji NeoBit nudi.
Realan vremenski okvir za malu i srednju firmu
Uvođenje 2FA u firmi od 10 do 50 zaposlenih ne mora trajati mjesecima. Uz jasan plan, glavnina posla obavi se kroz nekoliko jasno odvojenih faza:
- Prvi tjedan: popis i odluke. Napravite inventar svih servisa, identificirajte tko ima povlaštene pristupe i odlučite koja metoda ide na koju ulogu. Bez ovog koraka implementacija ostaje nedosljedna.
- Drugi tjedan: pilot na IT i administratorima. Prvo uključite tehnički tim i administratore. Oni će uočiti probleme s oporavkom, rezervnim kodovima i specifičnim aplikacijama prije nego što se 2FA proširi na sve.
- Treći i četvrti tjedan: postupno širenje po odjelima. Uvodite po timovima, uz kratku uputu i kontakt osobu za podršku. Postupno širenje smanjuje pritisak na helpdesk i otpor zaposlenika.
- Nakon uvođenja: provjera i dotjerivanje. Provjerite da nema zaobilaznih puteva (legacy protokoli, servisni nalozi, izuzeća) i da svi imaju funkcionalan oporavak. Tek tada se 2FA može smatrati stvarno provedenom.
Najveći otpor obično ne dolazi od tehnologije nego od korisnika koji 2FA doživljavaju kao smetnju. Zato je kratka, konkretna edukacija jednako važna kao i sama tehnička postavka: zašto se uvodi, kako prepoznati lažni zahtjev i što učiniti kod gubitka uređaja.
Najčešće greške pri uvođenju dvofaktorske autentifikacije
Sama prisutnost 2FA ne znači da je ona dobro postavljena. U praksi se ponavljaju ove greške:
- 2FA samo za „obične“ korisnike, a ne za administratore. Upravo su povlašteni računi najvrjednija meta i moraju biti najjače zaštićeni.
- Oslanjanje isključivo na SMS. Ranjivo na SIM-swap i presretanje; nije dovoljno za kritične pristupe.
- Loše osmišljen oporavak računa. Ako se 2FA može zaobići pozivom podršci ili lakim resetom, napadač će iskoristiti baš taj put.
- Ignoriranje „MFA fatigue“ napada. Kod push notifikacija napadač šalje val zahtjeva dok korisnik iz frustracije ne odobri jedan. Rješenje su metode s potvrdom broja ili prelazak na FIDO2.
- Zaboravljeni servisni i legacy računi. Stari protokoli i servisni nalozi često zaobilaze 2FA i ostaju otvorena vrata.
Ovi se propusti najlakše otkrivaju kontroliranim testiranjem. Simulirani phishing i provjera otpornosti prijava dio su penetracijskog testiranja. Ako želite vidjeti koliko je vaša postavka stvarno otporna, počnite s kratkim upitnikom za penetracijski test.
2FA kao dio šire sigurnosne strategije
Dvofaktorska autentifikacija rješava jedan, vrlo važan problem: krađu i zlouporabu vjerodajnica. No ona nije samostalna obrana. Učinkovita je tek kao dio cjeline koja uključuje upravljanje pravima pristupa po načelu najmanjih ovlasti, redovito ažuriranje sustava, sigurnosno praćenje (SOC/MDR) i plan reakcije na incidente. Za firme koje krenu prema ISO 27001, snažna autentifikacija je jedna od očekivanih kontrola, ali revizor će gledati i kako se njome upravlja, kako se prati i kako se postupa kad nešto pođe po zlu.
Korisno je razlikovati što 2FA pokriva, a što ne. Ona dobro štiti od napada na vjerodajnice: ponovne upotrebe procurjelih lozinki, slabih lozinki i klasičnog phishinga. S druge strane, ne štiti od zlonamjernog softvera koji preuzima već prijavljenu sesiju, od propusta u samoj aplikaciji, niti od napada koji u stvarnom vremenu kradu i lozinku i kod (tzv. proxy phishing). Upravo zato se kod najosjetljivijih pristupa preporučuju metode otporne na phishing, poput FIDO2 ključeva, te dodatni sloj nadzora koji prepoznaje sumnjive prijave, primjerice prijavu s neuobičajene lokacije ili u neuobičajeno vrijeme.
Za organizacije u Mostaru, Hercegovini i široj regiji koje žele potpunu sliku, od autentifikacije do nadzora i odgovora na prijetnje, dobar prvi korak je razgovor s timom koji to radi svakodnevno. Kontaktirajte NeoBit za procjenu trenutnog stanja i konkretne preporuke prilagođene vašoj firmi.
Često postavljana pitanja
Je li dvofaktorska autentifikacija dovoljna da zaštiti firmu od hakera?
Ne sama po sebi. 2FA izuzetno smanjuje rizik od preuzimanja računa putem ukradenih lozinki, što je jedan od najčešćih ulaznih vektora. No napadači koriste i ranjivosti softvera, pogrešne konfiguracije i socijalni inženjering. 2FA treba promatrati kao temeljnu, ali ne i jedinu mjeru, uz ažuriranja, kontrolu pristupa i nadzor.
Koja je metoda 2FA najsigurnija za poslovnu upotrebu?
Najveću otpornost daju hardverski ključevi po FIDO2/WebAuthn standardu jer su vezani za domenu i otporni na phishing. Za većinu zaposlenika dobar balans nudi TOTP aplikacija. SMS je najslabiji izbor i treba ga koristiti samo kao krajnju rezervu, posebno za administratorske račune.
Što ako zaposlenik izgubi telefon ili hardverski ključ?
Zato je nužno unaprijed pripremiti oporavak: sigurno pohranjene rezervne kodove i, gdje je moguće, rezervni hardverski ključ. Procedura treba jasno definirati tko i kako potvrđuje identitet zaposlenika prije ponovnog postavljanja drugog faktora, jer je loš oporavak čest način zaobilaženja 2FA.
Moramo li uvesti 2FA na baš svaku aplikaciju odjednom?
Ne. Uvodite po prioritetu rizika: prvo e-mail, administratorske račune i udaljeni pristup, zatim financijske i ostale poslovne aplikacije. Centralizacija kroz jedinstvenu prijavu (SSO) s nametnutom 2FA olakšava postupno, ali dosljedno uvođenje za cijelu firmu.
Povezani vodiči: Cyber sigurnost u BiH - kompletan vodič · Sigurnost zaposlenika: najslabija karika u cyber obrani · Kako odabrati cyber security firmu - 7 kriterija za 2026.
