Prema istraživanjima, više od 80% uspješnih hakovanih kripto naloga bi spriječila aktivna dvofaktorska autentifikacija. Lozinka sama po sebi nije dovoljna zaštita jer može biti ukradena kroz phishing, curenje baze podataka ili keylogger. Kad napadač ima lozinku bez 2FA, odmah ulazi na nalog. S aktivnom 2FA, lozinka postaje samo prvi od dva koraka – i bez drugog koraka, napadač ne može ući čak i kad zna lozinku. Za kripto naloge gdje su sredstva direktno dostupna bez bankovnog posrednika, 2FA kripto naloga nije opcija nego osnova sigurnosti.
Šta je 2FA i kako funkcioniše
Dvofaktorska autentifikacija (2FA) je sigurnosni proces koji zahtijeva dva odvojena koraka pri prijavi: nešto što znaš (lozinka) i nešto što imaš (kod s telefona ili fizički uređaj). Čak i ako napadač zna tvoju lozinku, bez drugog faktora ne može završiti prijavu.
Analogija: banka zahtijeva i fizičku karticu i PIN. Kartica bez PIN-a ne radi. PIN bez kartice ne radi. Upravo na tom principu funkcioniše 2FA – dva nezavisna faktora od kojih svaki sam za sebe nije dovoljan.
U praksi to izgleda ovako: uneseš lozinku na Binanceu, Binance traži 6-cifreni kod, otvoriš Google Authenticator na telefonu, prepisuješ trenutni kod koji važi 30 sekundi. Bez tog koda, prijava ne prolazi.
Razlika između 2FA i MFA
MFA (Multi-Factor Authentication) je širi pojam koji podrazumijeva tri ili više faktora verifikacije. 2FA je podvrsta MFA s tačno dva faktora. Za kripto korisnike 2FA je standard koji nudi dovoljan nivo zaštite. MFA s tri faktora uglavnom koriste organizacije s posebnim sigurnosnim zahtjevima, a za individualne kripto korisnike dvije razine su i više nego dovoljne ako su pravilno postavljene. Više o osnovnim kripto pojmovima i sigurnosnom rječniku možeš naći u kripto rječniku.
Vrste 2FA metoda – od najslabije do najjače
Nisu sve 2FA metode jednako sigurne. Za kripto naloge razlika između metoda može biti razlika između sigurnog i hakovanog naloga.
| Metoda | Kako radi | Nivo sigurnosti | Preporuka za kripto |
|---|---|---|---|
| SMS 2FA | Kod dolazi SMS-om | Najslabije | Izbjegavaj |
| Email 2FA | Kod dolazi emailom | Slabo | Ne koristiti |
| Authenticator app | App generiše TOTP kod | Dobro | Preporučeno |
| YubiKey / FIDO2 | Fizički USB/NFC ključ | Najjače | Za veće iznose |
SMS 2FA – najraširenije ali najranjivije
SMS 2FA je najlakša za postavljanje i zato najčešće korišćena. Ali za kripto korisnike je najslabija opcija zbog jedne konkretne prijetnje: SIM swapping.
Napadač kontaktira tvog mobilnog operatera, tvrdi da je izgubio telefon i traži prebacivanje tvog broja na novu SIM karticu. Neki operateri to rade s minimalnom verifikacijom – dovoljno je znati ime, adresu i nekoliko podataka koji su često dostupni s društvenih mreža. Čim broj prebace, napadač prima sve tvoje SMS poruke uključujući 2FA kodove.
FBI je 2024. upozorio da SIM swap napadi kombinovani s kripto krađom godišnje odnose stotine miliona USD. Ako trenutno koristiš SMS 2FA na kripto nalogima – promijeni na aplikaciju što prije.
Google Authenticator i Authy – aplikacije za autentifikaciju
Authenticator aplikacije generišu TOTP (Time-based One-time Password) – 6-cifreni kod koji se mijenja svakih 30 sekundi i generiše se lokalno na uređaju bez internet konekcije. SIM swap ne funkcioniše jer kod nije vezan za broj telefona.
Usporedba najpopularnijih opcija:
- Google Authenticator – besplatan, jednostavan, dostupan za Android i iOS. Update 2024: dodan cloud sync koji kodove veže za Google nalog. Prednost: lakši oporavak. Mana: kodovi postoje u Googleovom cloudu ako ima cloud sync uključen
- Authy – besplatan, podržava cloud backup, može se koristiti na više uređaja istovremeno. Zahtijeva registraciju s brojem telefona. Najčešće preporučen za početnike zbog backup opcija
- Microsoft Authenticator – dobra alternativa, cloud backup, integracija s Microsoft nalogom
Za kripto korisnike koji ne žele rizik cloud sinhronizacije: Google Authenticator s isključenim cloud sync i ručno sačuvanim backup keyem je sigurnija opcija. Za one koji daju prednost lakoći oporavka: Authy.
YubiKey i hardverski sigurnosni ključevi
YubiKey je fizički USB ili NFC uređaj koji koristiš kao drugi faktor. Pri prijavi, fizički dodirnuješ YubiKey i on generiše kriptografski odgovor koji platforma provjerava. Cijena je od 50 do 70 USD zavisno od modela.
YubiKey je jedina 2FA metoda koja je otporna na real-time phishing proxy napade – o tome više u sekciji o prijetnjama. Binance, Coinbase, Kraken i većina većih kripto platformi podržava YubiKey. Za korisnike s većim iznosima kripta, YubiKey je investicija koja vrijedi.
Zašto je SMS 2FA opasna za kripto – SIM swapping
SIM swapping je vrsta napada specifično opasna za kripto korisnike jer je kripto prenos direktan i nepovratan. Evo kako napad funkcioniše korak po korak:
- Napadač prikupi tvoje lične podatke – ime, adresu, broj telefona, dijelom iz curenja podataka, dijelom s društvenih mreža
- Zove tvog mobilnog operatera i tvrdi da si ti, da si izgubio telefon i da treba prenos broja na novu SIM
- Operater prebacuje broj bez dovoljne verifikacije
- Napadač sada prima sve SMS poruke na tvoj broj, uključujući 2FA kodove
- Prijavljuje se na tvoj kripto nalog s lozinkom dobijenom kroz phishing ili curenje podataka
- Unosi SMS 2FA kod koji mu stiže na novu SIM karticu
- Povlači sva sredstva
Poznati slučaj: kripto investitor Michael Terpin izgubio je 24 milijuna USD kroz SIM swapping 2018. i do danas je jedan od najcitiranijih primjera zašto SMS 2FA nije dovoljna za kripto. Detalje o sigurnoj kupovini i upravljanju kripto nalogima u BiH možeš naći u vodiču za kupovinu kriptovaluta u BiH.
Kako postaviti 2FA na Binanceu – korak po korak
Ovo ne postoji ni u jednom bosanskom vodiču. Binance zahtijeva 2FA za sva povlačenja sredstava od 2022. Evo kompletnih koraka.
Instalacija Google Authenticator ili Authy
Prije nego aktiviraš 2FA na Binanceu, trebaš authenticator aplikaciju na telefonu:
- Otvori Google Play (Android) ili App Store (iOS)
- Pretraži Google Authenticator ili Authy
- Instaliraj aplikaciju – obje su besplatne
- Otvori aplikaciju i ostavi je otvorenom
Google Authenticator ne traži registraciju. Authy traži broj telefona za cloud backup opciju.
Aktivacija 2FA na Binance nalogu
- Prijavi se na Binance nalog
- Klikni na ikonu profila u gornjem desnom uglu
- Idi na Security
- Pod “Two-Factor Authentication” klikni na Authenticator App
- Klikni Enable
- Binance prikazuje QR kod i 16-cifreni backup key ispod QR koda
- Odmah zapiši backup key na papir – to je tvoj oporavak ako izgubiš telefon
- Otvori Google Authenticator, klikni + i odaberi Scan a QR code
- Usmjeri kameru na QR kod na ekranu računara
- Google Authenticator dodaje Binance nalog i prikazuje 6-cifreni kod koji se mijenja svakih 30 sekundi
- Unesi trenutni 6-cifreni kod na Binanceu u predviđeno polje
- Klikni Enable za potvrdu
Od tog trenutka, svaka prijava i svako povlačenje zahtijevaju 2FA kod. Kompletno uputstvo za Binance platformu dostupno je u Binance vodiču za početnike.
Anti-phishing kod na Binanceu – dodatna zaštita uz 2FA
Anti-phishing kod je personalizovana šifra koju postaviš jednom i koja se pojavljuje u svakom legitimnom Binance emailu. Ako email od “Binancea” nema tvoj anti-phishing kod ili je pogrešan – lažan je. Ovo ne postoji opisano ni u jednom bosanskom kripto vodiču a jedno je od najkorisnijih sigurnosnih podešavanja.
Kako postaviti:
- Idi na Security – Advanced Security – Anti-Phishing Code
- Klikni Enable
- Napravi kod od minimum 8 znakova koji sadrži i velika slova i brojeve
- Unesi 2FA kod za potvrdu
Od tog trenutka, svaki pravi Binance email sadrži tvoj personalizovani kod vidljiv u zaglavlju poruke.
Backup kodovi – šta su i kako ih pohraniti
Ovo je tema o kojoj nema ni riječi ni u jednom BHS kripto vodiču o 2FA. Backup kodovi su jednokratni sigurnosni kodovi koje platforma daje pri aktivaciji 2FA. Svaki se može iskoristiti jednom umjesto TOTP koda iz aplikacije – korisni su kad izgubiš pristup authenticator aplikaciji.
Kako pohraniti backup kodove:
- Zapiši na papir u trenutku kad ih platforma prikaže
- Pohrani na sigurnom fizičkom mjestu van računara i telefona
- Nikad ih ne fotografiši niti pohranjuj digitalno
- Svaki kod važi samo jednom – ako ga iskoristiš, generiši nove
Za Binance specifično: pri postavljanju 2FA, Binance prikazuje 16-cifreni backup key. Taj ključ možeš unijeti u authenticator aplikaciju umjesto QR koda i obnoviti pristup na novom uređaju. Zapiši ga odmah i pohrani odvojeno od telefona. Ovo je jedina stvar između tebe i trajnog gubitka pristupa nalogu ako izgubiš telefon. Detalji o pohrani kripto ključeva i seed fraze dostupni su u vodiču o kripto novčanicima.
Šta raditi ako izgubiš telefon s Google Authenticatorom
Ovo je jedna od najčešćih paničnih situacija kod kripto korisnika a nema je ni u jednom BHS vodiču. Panika nije potrebna ako si sačuvao backup key ili backup kodove.
Oporavak pristupa Binanceu bez 2FA
Opcije po redoslijedu brzine:
- Backup key (16-cifreni ključ sačuvan pri postavljanju): instaliraj Google Authenticator na novi telefon, klikni +, odaberi Enter a setup key, upiši backup key. Binance nalog se vraća odmah.
- Backup kodovi (ako ih je platforma dala): koristi jedan od sačuvanih kodova umjesto TOTP koda za prijavu, a onda promijeni 2FA na novom uređaju.
- Binance Self-Service Recovery: Na Binanceu klikni “Lost your 2FA device?” na ekranu za prijavu. Forma traži verificirane dokumente, selfie i potvrdu identiteta. Proces traje do 15 radnih dana.
Upozorenje: bez backup keya ni backup kodova, oporavak je spor i nepredvidiv. Zbog toga se backup key zapisuje odmah pri postavljanju, još u toku procesa aktivacije 2FA.
Authy kao bolje rješenje za backup
Authy ima ugrađenu cloud backup opciju koja omogućava oporavak svih kodova na novom uređaju jednostavnim prijavom u Authy nalog. Ako si imao cloud backup uključen, instaliraš Authy na novi telefon, prijaviš se i svi kodovi su tu.
Kompromis koji treba razumjeti: Authy backup je šifrovan i pohranjen u Authyjevom cloudu. Sigurniji je od nešifrovanog cloud backupa ali manje siguran od backup keya pohranjenog fizički van interneta. Za korisnike koji daju prednost lakoći oporavka: Authy je praktičan izbor. Za korisnike koji žele maksimalnu sigurnost: Google Authenticator s ručno sačuvanim backup keyem. Više o kripto novčanicima i usporedbi sigurnosnih opcija dostupno je u usporedbi Ledgera i Trezora.
Prijetnje koje zaobilaze 2FA – šta treba znati u 2025
2FA je odlična zaštita ali nije savršena. Postoje dvije konkretne prijetnje koje je mogu zaobići a ni jedna nije opisana u BHS kripto vodičima.
Real-time phishing proxy napadi
Ovo je nova vrsta napada koja se proširila 2024/2025 i direktno zaobilazi TOTP 2FA. Napadač postavi lažnu stranicu identičnog izgleda kao Binance ili MetaMask. Kad uneseš lozinku, lažna stranica je u realnom vremenu proslijeđuje pravom Binanceu. Binance zatraži 2FA kod. Lažna stranica prikaže i tebi isti zahtjev. Čim uneseš 2FA kod, lažna stranica ga proslijedi pravom Binanceu u sekundi – dok kod još važi. Napadač dobiva pun pristup.
Cijeli proces traje sekunde. TOTP 2FA ne može spriječiti ovaj napad jer je kod valjan i proslijeđen u realnom vremenu. Jedina 2FA metoda koja ga sprječava je YubiKey (FIDO2) jer je kriptografski vezan za originalnu domenu i ne radi na lažnoj stranici čak i ako izgleda identično.
Kako se zaštititi od 2FA bypass napada
- Provjeri URL u adresnoj traci svaki put pri prijavi – jedna pogrešna crtica ili slovo u domeni znači lažna stranica
- Bookmarkuj sve kripto platforme i uvijek koristi bookmark, nikad klik na link iz emaila
- Anti-phishing kod na Binanceu – ako Binance email nema tvoj kod, nije od Binancea
- Za maksimalnu zaštitu: YubiKey je jedina metoda sigurna od real-time phishing proxy napada
- Nikad ne unosiš 2FA kod na stranici do koje si stigao klikom na link iz poruke
Više o vrstama kripto prevara i kako ih prepoznati dostupno je u vodiču o greškama početnika u kriptu. Za MetaMask specifičnu zaštitu više je dostupno u MetaMask vodiču.
Kojim redoslijedom aktivirati 2FA
Redoslijed postavljanja 2FA je bitan jer je email nalog kapija za sve ostalo – reset lozinke za sve platforme ide na email. Ako napadač uđe na email, može resetovati lozinke na svim kripto nalogima. Ovo ne postoji nigdje u BHS vodičima kao konkretna lista prioriteta.
- Email nalog (Gmail, Outlook) – uvijek prvi. Koristi aplikaciju, ne SMS. Ovo je najbitniji nalog jer je kapija za sve ostalo
- Kripto mjenjačnice (Binance, Kriptomat) – odmah nakon email naloga. Aplikacija, ne SMS
- Kripto novčanici koji podržavaju 2FA
- Ostali finansijski nalozi – internet bankarstvo, PayPal i slično
- Ostali nalozi – društvene mreže, shopping platforme
Pravilo: nikad ne koristiš SMS 2FA za email i kripto naloge. Te dvije kategorije su toliko osjetljive da SMS ranjivost kroz SIM swapping nije prihvatljiv rizik. Za pregled dostupnih kripto mjenjačnica u regiji dostupan je pregled kripto mjenjačnica za Balkan.
Najčešća pitanja o 2FA za kripto
Šta je 2FA i zašto je bitna za kripto?
Dvofaktorska autentifikacija (2FA) je sigurnosni proces koji zahtijeva dva koraka pri prijavi: lozinku i kod s telefona. Čak i ako napadač ima lozinku, bez koda ne može ući. Za kripto je posebno bitna jer nema bankovnog posrednika koji može zaustaviti ili poništiti neovlašten prenos – ako napadač uđe, odmah može povući sva sredstva.
SMS ili aplikacija – koja 2FA je sigurnija?
Authenticator aplikacija je znatno sigurnija od SMS 2FA. SMS 2FA je ranjiva na SIM swapping gdje napadač prebaci tvoj broj na svoju SIM karticu i prima sve SMS poruke uključujući 2FA kodove. Authenticator aplikacija generiše kodove lokalno na uređaju bez internet konekcije i nije vezana za broj telefona.
Šta je SIM swapping?
SIM swapping je napad u kome napadač kontaktira mobilnog operatera i uvjeri ga da prebaci tvoj broj na novu SIM karticu. Nakon toga prima sve SMS poruke i pozive na tvoj broj, uključujući 2FA kodove. Posebno je opasan za kripto korisnike koji koriste SMS 2FA jer omogućava pristup kripto nalogima bez znanja vlasnika.
Šta se dešava ako izgubiš telefon s Google Authenticatorom?
Ako si sačuvao 16-cifreni backup key pri postavljanju 2FA, instaliraj Google Authenticator na novi telefon, odaberi “Enter a setup key”, upiši backup key i pristup je odmah obnovljen. Bez backup keya, Binance Self-Service Recovery traje do 15 radnih dana i zahtijeva punu verifikaciju identiteta.
Može li se 2FA zaobići?
TOTP 2FA može biti zaobiđena real-time phishing proxy napadom gdje lažna stranica proslijedi tvoj 2FA kod pravoj platformi dok kod još važi. Jedina 2FA metoda otporna na ovaj napad je YubiKey (FIDO2) koji je kriptografski vezan za originalnu domenu i ne funkcioniše na lažnoj stranici.
Koji je best 2FA app za kripto?
Za početnike koji daju prednost lakoći oporavka: Authy zbog cloud backup opcije. Za maksimalnu sigurnost: Google Authenticator s isključenim cloud sync i ručno sačuvanim backup keyem na papiru. Za otpornost na phishing proxy napade: YubiKey hardware key.
Treba li mi YubiKey ako već imam Google Authenticator?
Za prosječnog korisnika s manjim iznosima, Google Authenticator je dovoljan uz provjeru URL adrese pri prijavi. YubiKey ima smisla za korisnike s većim iznosima kripta koji žele zaštitu i od real-time phishing proxy napada ili za korisnike koji žele maksimalnu sigurnost bez stalnog razmišljanja o URL provjeri.
Kako postaviti 2FA na Binanceu?
Instaliraj Google Authenticator ili Authy. Na Binanceu idi na Security, klikni Authenticator App, pa Enable. Binance prikaže QR kod i 16-cifreni backup key – odmah zapiši backup key. U Google Authenticatoru skeniraj QR kod. Unesi 6-cifreni kod za potvrdu i 2FA je aktivna za sve prijave i povlačenja.
Postavljanje 2FA kripto naloga traje pet minuta i jednom urađeno ne zahtijeva nikakvu dalju pažnju osim unosa 6-cifrenog koda pri prijavi. Pet minuta može spriječiti trajni gubitak svih sredstava. Počni s email nalogom, pa kripto mjenjačnicom, i koristi authenticator aplikaciju – ne SMS.
