MFA vs passwordless? Jak bezpiecznie się logować? 

Czy zdarzyło Ci się zapomnieć hasła do firmowej skrzynki lub VPN-a? Jeśli tak, to doskonale rozumiesz frustrację, która towarzyszy odzyskiwaniu dostępu. W świecie, gdzie każdy system wymaga innego hasła – silnego, długiego i najlepiej unikalnego – przeciętny użytkownik staje się żonglerem poświadczeń. Problem w tym, że te żonglerki kończą się często… katastrofą.  

Statystyki nie pozostawiają złudzeń. Raport Cisco Talos z Incident Response za druga połowę 2024 roku podaje, że ponad 80% incydentów można by uniknąć stosując odpowiednio wdrożone mechanizmy MFA. Hasła są łatwe do złamania, użytkownicy mają tendencję do ich powielania, a działy IT spędzają godziny na ich resetowaniu.  

Czas zadać sobie pytanie: czy naprawdę musimy żyć z hasłami? Nie ma innej metody uwierzytelniania? I tu wchodzi cała na biało koncepcja uwierzytelniania bezhasłowego – rozwiązanie, które ma szansę zmienić reguły gry.  

Raport Cisco Talos z Incident Response za druga połowę 2024 roku podaje, że ponad 80% incydentów można by uniknąć stosując odpowiednio wdrożone mechanizmy MFA.

Dlaczego hasła są problemem? 

Hasła — choć nadal powszechne — to relikt czasów, kiedy bezpieczeństwo cyfrowe zaczynało raczkować. Są: 

• łatwe do zgubienia i zapomnienia, 
• powielane przez użytkowników w wielu serwisach, 
• podatne na phishing, brute-force i ataki słownikowe, 
• kosztowne w utrzymaniu dla działów IT (resety, polityki, szkolenia). Administratorzy mają możliwość resetowania metod uwierzytelniania na wypadek zagubienia klucza lub telefonu. 

To wszystko sprawia, że firmy — szczególnie te objęte regulacjami, jak NIS2 — zaczynają szukać bardziej odpornych i nowoczesnych rozwiązań. Rozwiązaniem nie są już silniejsze hasła, ale… ich brak. Ale zanim wyeliminujemy hasła zupełnie, przyjrzyjmy się MFA.

Uwierzytelnianie wieloskładnikowe

Uwierzytelnianie jest procesem weryfikacji tożsamości użytkownika, który próbuje uzyskać dostęp do systemu, sieci lub aplikacji. Jest to kluczowy element bezpieczeństwa, ponieważ uniemożliwia nieautoryzowanym osobom dostęp do chronionych zasobów. Wiele organizacji wykorzystuje uwierzytelnianie wieloskładnikowe (MFA), które wymaga od użytkownika podania (poza hasłem) więcej niż jednego elementu tożsamości, takiego jak jednorazowy kod SMS lub kod z tokenu.  

Model uwierzytelniania wieloskładnikowego 

Coś, co wiesz, coś, co masz 

Istnieje wiele metod uwierzytelniania, które mogą być wykorzystywane w celu uzyskania dostępu do systemów i aplikacji. Metody te można podzielić na trzy główne kategorie: czynnik wiedzy (np. hasło), czynnik posiadania (np. token uwierzytelniający) i czynnik biometryczny (np. odcisk palca). Uwierzytelnianie wieloskładnikowe łączy dwie lub więcej z tych kategorii, aby zapewnić wyższy poziom bezpieczeństwa. Uwierzytelnianie bez hasła, takie jak Microsoft Authenticator i klucze dostępu FIDO2, staje się coraz bardziej popularne, ponieważ oferują wygodniejsze i bezpieczniejsze rozwiązania dla użytkowników. 

Czym jest uwierzytelnianie bezhasłowe?  

Passwordless authentication to sposób logowania, który eliminuje konieczność wpisywania hasła. Tożsamość użytkownika potwierdzana jest za pomocą innych metod – np. biometrii, fizycznych kluczy sprzętowych, powiadomień push na zaufanym urządzeniu czy nawet schematów behawioralnych. To nie tylko wygodne, ale też dużo bezpieczniejsze. I co ważne – zgodne z duchem Zero Trust, który zakłada brak domyślnego zaufania do jakiegokolwiek użytkownika lub urządzenia. 

To metoda logowania, w której użytkownik nie musi podawać żadnego hasła. Jego tożsamość potwierdzają inne czynniki: 

• podanie danych biometrycznych – np. odcisk palca, rozpoznawanie twarzy, 
• klucz sprzętowy – np. YubiKey podłączany do USB/NFC, na którym można zrealizować scenariusz dostępu bezhasłowego, 
• zaufane urządzenie mobilne – potwierdzenie logowania przez powiadomienie push. 

W przypadku logowania z nieznanych lokalizacji lub urządzeń, aplikacja może poprosić o wpisanie kodu otrzymanego SMSem w celu dodatkowego uwierzytelnienia. Rozwiązania te wpisują się w model Zero Trust, w którym nie ufamy nikomu domyślnie – nawet własnym pracownikom, dopóki nie udowodnią, że naprawdę są tymi, za kogo się podają. 

Metody uwierzytelniania: Klucze dostępu 

Klucze dostępu, takie jak te zgodne z standardem FIDO2, są urządzeniami fizycznymi, które mogą być wykorzystywane do uwierzytelniania bez hasła. Są one wyposażone w zaawansowane funkcje bezpieczeństwa, takie jak kryptografia i autentykacja oparta na certyfikatach. Użytkownicy mogą zarejestrować klucz dostępu w swoim koncie, a następnie wykorzystywać go do logowania się do systemów i aplikacji bez konieczności wpisywania nazwy użytkownika i hasła. Klucze dostępu są szczególnie przydatne w przypadku użytkowników, którzy muszą uzyskać dostęp do wielu kont i aplikacji, ponieważ zapewniają one wygodne i bezpieczne rozwiązanie. 

MFA vs Passwordless – co lepsze? 

Wielu osobom może się wydawać, że passwordless to po prostu MFA w nowej odsłonie. Tymczasem różnice są istotne. MFA – czyli uwierzytelnianie wieloskładnikowe – niemal zawsze opiera się na haśle jako jednym z elementów. Dopiero potem dochodzi drugi składnik, np. kod TOTP czy klucz sprzętowy.  

Passwordless eliminuje hasło całkowicie – i właśnie to sprawia, że jest nie tylko wygodniejsze, ale i bardziej odporne na typowe ataki jak phishing czy brute-force.  

Z punktu widzenia bezpieczeństwa i ergonomii passwordless wypada znacznie lepiej. Skraca czas logowania, zmniejsza obciążenie helpdesku, a co najważniejsze – redukuje powierzchnię ataku. Wymaga jednak więcej zaangażowania we wdrożenie – zarówno po stronie IT, jak i użytkowników. Potrzebne są procesy, edukacja i backupowe metody dostępu na wypadek zgubienia klucza czy awarii smartfona.  

Warto też mieć świadomość, że logowanie bezhasłowe nie jest pozbawione zagrożeń. Kradzież telefonu lub klucza, przejęcie numeru telefonu (SIM swapping), a nawet zaawansowane fałszerstwa biometryczne – to wszystko trzeba brać pod uwagę, planując wdrożenie. Dlatego kluczowe są polityki bezpieczeństwa, szyfrowanie komunikacji i – przede wszystkim – edukacja użytkowników.  

Przyjrzyjmy się róznicom między MFA a logowaniem bezhasłowym  

Trzy praktyczne podejścia do MFA 

1. Cisco Duo – zrównoważona droga do bezpieczeństwa  

Cisco Duo to zaawansowana platforma MFA i bezhasłowego uwierzytelniania, którą można zintegrować z systemami chmurowymi, VPN-ami, Active Directory i lokalnymi aplikacjami. Użytkownik nie musi wpisywać hasła – wystarczy zatwierdzić powiadomienie na telefonie. Aplikacja umożliwia logowanie się przy pomocy biometrii lub kodu PIN.  

💡 Dla kogo? 

• duże organizacje, instytucje finansowe, sektor publiczny, 
• firmy wymagające zgodności z NIS2, RODO, ISO 27001, 
• zespoły IT szukające prostego wdrożenia i pełnej integracji z Microsoft 365, VPN czy Azure AD. 

✅ Co wyróżnia Duo? 

• prosty onboarding użytkowników, 
• adaptacyjne uwierzytelnianie (np. większe zabezpieczenia poza godzinami pracy), 
• rozbudowane raportowanie dostępu. 

Uwierzytelnianie przez Cisco Duo 

2. FortiAuthenticator i FortiToken – bezhasłowe logowanie dla środowisk Fortinet  

Jeśli Twoja organizacja korzysta z FortiGate, to naturalnym uzupełnieniem będzie FortiAuthenticator — lokalny lub chmurowy serwer uwierzytelniania, który współpracuje z tokenami FortiToken (sprzętowymi lub mobilnymi). Dzięki temu możesz wdrożyć MFA lub passwordless w spójny sposób z całym ekosystemem bezpieczeństwa. Użytkownik oprócz wprowadzania nazwy użytkownika i hasła musi wykonać dodatkowy krok w celu potwierdzenia swojej tożsamości. Dodatkowo, podczas logowania na nowe urządzenie lub w innej lokalizacji, logowanie nastąpi z użyciem dodatkowych zabezpieczeń, takich jak jednorazowe kody SMS. 

💡 Dla kogo? 

• MŚP i sektor publiczny (szkoły, urzędy, placówki zdrowia), 
• firmy z istniejącą infrastrukturą Fortinet. 

✅ Co zyskujesz? 

• tańszą alternatywę dla rozbudowanych platform MFA, 
• integrację z VPN, RADIUS, Wi-Fi i Windows logon, 
• możliwość stosowania mobilnych lub fizycznych tokenów. 

FortiToken – bezpieczny dostęp dla platform Fortinet 

3. YubiKey – odporne na phishing MFA i hardware’owy klucz do świata bez haseł  

YubiKey to niewielkie urządzenie (USB, NFC, Lightning), które działa jak fizyczny klucz. Wystarczy podłączyć je do komputera lub zbliżyć do telefonu, by potwierdzić tożsamość – bez wpisywania hasła. Klucz wspiera standardy FIDO2 i WebAuthn, dzięki czemu jest kompatybilny z Microsoft, Google, GitHub i wieloma innymi usługami.  

💡 Dla kogo?  

• firmy każdej wielkości, które chcą chronić użytkowników przed kradzieżą tożsamości, 
• struktury, w których szczególnie chce się chronić użytkowników wysokouprzywilejowanych (administratorzy, członkowie zarządu, pracownicy działu finansowego itp.), 
• organizacje, w których pracownicy nie mają telefonów służbowych, np. urzędy, szpitale, jednostki samorządowe, fabryki (nawet w strefach zagrożonych wybuchem – YubiKey nie ma baterii), call center, 
• użytkownicy prywatni. 

✅ Dlaczego warto?  

• odporność na phishing i przechwycenie danych,  
• brak potrzeby instalowania aplikacji mobilnych,  
• możliwość logowania offline (np. do systemów operacyjnych).  

Rodzina kluczy Yubikey – od FIDO-only po obsługę wielu protokołów uwierzytelniania, w tym uwierzytelnanie bezhasłowe 

A co z bezpieczeństwem w MFA i passwordless authentication?  

Choć każda metoda ma swoje ograniczenia (np. zgubiony telefon, utracony klucz sprzętowy), logowanie bezhasłowe redukuje najczęstsze wektory ataku. Zamiast liczyć na to, że użytkownik wymyśli bezpieczne hasło, firmy mogą zaufać potwierdzeniu tożsamości przez coś fizycznego (klucz) lub unikalnego (biometria).  

Co więcej – z perspektywy dyrektywy NIS2, która wymaga stosowania silnych metod uwierzytelniania i zarządzania dostępem – przejście na rozwiązania passwordless to logiczny krok w stronę zgodności.  

W kontekście wyboru technologii uwierzytelniania, warto również znać najczęstsze wektory ataku, które zagrażają zarówno tradycyjnym systemom MFA, jak i bardziej nowoczesnym rozwiązaniom bezhasłowym. Zrozumienie tych zagrożeń jest kluczowe przy planowaniu strategii zabezpieczeń i wyborze odpowiednich mechanizmów obrony.  

Co dalej?  

Hasło przestaje być bohaterem naszego cyfrowego bezpieczeństwa. Dziś ochrona toższamości wymaga bardziej zaawansowanych rozwiązań. Jeśli chcesz zapewnić użytkownikom bezpieczny dostęp do zasobów firmowych, porozmawiajmy. Doradzimy, które narzędzie będzie dla Ciebie najlepsze: Cisco Duo, FortiAuthenticator, YubiKey czy inne rozwiązanie sprawdzonego producenta.  

📩 Skontaktuj się z naszym zespołem, żeby dowiedzieć się, jak wdrożyć najlepszy sposób uwierzytelniania w Twojej organizacji.