MSP
SR/EN
Zakaži audit
Deo INTO d.o.o. · www.into.rsintomsp.com
// Bezbednost

MFA nije dovoljan: zašto vam treba MFA otporan na phishing

24. јун 2026. · 6 min čitanja

Uveli ste dvofaktorsku prijavu i osećate se sigurno. To je dobar potez — ali nije kraj priče. Većina MFA metoda koje firme koriste zaustavlja amatera, a profesionalcu samo malo oteža posao. Razlika između „imamo MFA" i „imamo MFA otporan na phishing" je razlika između toga da li će prevara da prođe ili ne.

Zašto klasičan MFA pada na phishing

Problem nije u ideji drugog faktora, nego u tome što se kod može preneti. Napadač napravi lažnu stranicu za prijavu, vi unesete lozinku i kod, a on ih u realnom vremenu prosledi pravom servisu i uđe umesto vas. Ranjive su sve metode kod kojih čovek nešto prepisuje ili odobrava:

  • SMS kod — najslabiji; podložan i preusmeravanju broja (SIM swap).
  • Kod iz aplikacije (TOTP) — bolji od SMS-a, ali se i dalje može „upecati".
  • Push „odobri prijavu" — ranjiv na zamaranje korisnika lažnim zahtevima dok neko ne klikne „odobri".

Sve ove metode dele istu slabost: ne proveravaju gde se zapravo prijavljujete.

Šta znači „otporan na phishing"

Phishing-otporan MFA vezuje prijavu za konkretnu adresu sajta i za uređaj. Ako adresa nije prava, prijava jednostavno ne radi — nema koda koji korisnik može greškom da da napadaču. Dve dominantne tehnologije:

  • FIDO2 / sigurnosni ključevi — fizički USB/NFC ključ koji kriptografski potvrđuje i identitet i tačan sajt.
  • Passkeys — isti princip, ugrađen u telefon ili računar, bez posebnog ključa.

Suština je u tome što tajna nikad ne napušta uređaj i vezana je za pravu adresu. Lažna stranica nema šta da ukrade.

Gde da počneš, a da ne paralizuješ firmu

Ne moraš sve odjednom. Redosled koji daje najveću zaštitu po uloženom trudu:

  • Prvo administratori i privilegovani nalozi — oni su meta broj jedan.
  • Zatim rukovodstvo i finansije — pristup novcu i osetljivim podacima.
  • Pa ostatak firme, postepeno.

Za naloge koji još nisu prešli na ključeve, makar ukloni SMS kao metod i pređi na aplikaciju ili push sa dodatnom potvrdom (broj koji se mora ukucati, ne samo „odobri").

Tehnologija nije cela priča

Najjači MFA ne pomaže ako su procesi labavi:

  • Definiši šta se radi kad zaposleni izgubi ključ ili telefon — bez „brze" zaobilaznice koju napadač može da zloupotrebi.
  • Drži rezervni metod prijave (backup ključ ili kod) na sigurnom, da gubitak uređaja ne zaključa nalog.
  • Obuči ljude da prepoznaju zamaranje push zahtevima — pravilo je jednostavno: ako nisi ti pokrenuo prijavu, nikad ne odobravaj.

Šta ovo znači za malu firmu

Sigurnosni ključevi i passkeys više nisu rezervisani za korporacije. Trošak je skroman u poređenju sa jednim uspešnim preuzimanjem naloga, a postavka za mali tim je pitanje dana, ne meseci. Realan cilj nije „100% odmah", nego: kritični nalozi na phishing-otpornom MFA, SMS izbačen svuda, i jasan plan za izgubljeni uređaj.

MFA koji imate je bolji nego ništa. Ali ako vam je na nalogu novac, podaci klijenata ili pristup celom sistemu, pitanje nije „imamo li MFA" — nego „da li bi naš MFA preživeo dobro napravljenu lažnu prijavu". Za većinu firmi odgovor je danas „ne", i baš to treba popraviti.

← Svi resursi