Wyobraź sobie zamek w drzwiach. Każdy, kto chce wejść, musi mieć odpowiedni klucz. Im bardziej skomplikowany zamek, tym trudniej go otworzyć niewłaściwym kluczem - złodziej z wytrychem musi próbować wielu kombinacji, co zajmuje czas i zwiększa ryzyko, że zostanie przyłapany. Dobry, skomplikowany zamek skutecznie go zniechęca.
Hasło działa dokładnie tak samo. Im jest trudniejsze - długie, losowe, nieprzewidywalne - tym trudniej je złamać. Automaty używane przez cyberprzestępców sprawdzają miliardy kombinacji na sekundę, ale napotykając naprawdę silne hasło, po prostu odpuszczają i przechodzą do łatwiejszego celu.
Problem pojawia się w momencie, gdy klucz można ukraść. Złodziej nie musi łamać zamka, jeśli ma właściwy klucz. Wystarczy, że go zdobędzie - wyłudzi, podejrzy, znajdzie w nieodpowiednim miejscu. I tu zaczyna się prawdziwe ryzyko: nawet najlepsze hasło można stracić w sposób, na który nie masz pełnego wpływu.
Samo hasło - nawet bardzo silne - nie jest wystarczającą ochroną. Potrzebna jest druga warstwa zabezpieczenia, niezależna od hasła, która zadziała nawet wtedy, gdy hasło wpadnie w niepowołane ręce. Banki rozwiązały ten problem lata temu - każda transakcja wymaga potwierdzenia kodem z telefonu, niezależnie od tego, czy ktoś zna Twój PIN. Firmy chroniące swoje dane muszą dziś zrobić to samo.
Hasło to za mało - i to nie jest opinia, to fakt
Zakładamy, że Twoje hasła są silne i unikalne dla każdego serwisu - i że przechowujesz je w menedżerze haseł. To bardzo dobra podstawa. Ale nawet najlepiej skonfigurowane hasło można stracić w sposób, na który nie masz wpływu.
Wyciek danych z zewnętrznego serwisu, atak phishingowy, złośliwe oprogramowanie rejestrujące klawiaturę, nieuważne wpisanie hasła na fałszywej stronie - każda z tych sytuacji może sprawić, że Twoje hasło znajdzie się w niepowołanych rękach.
Właśnie dlatego samo hasło - nawet bardzo dobre - nie jest wystarczającą ochroną. Potrzebna jest druga warstwa zabezpieczenia, która zadziała nawet wtedy, gdy hasło zostanie przejęte.
Czym jest uwierzytelnianie dwuskładnikowe
Uwierzytelnianie dwuskładnikowe - określane skrótami 2FA lub MFA (Multi-Factor Authentication) - to metoda weryfikacji tożsamości, która wymaga potwierdzenia logowania za pomocą dwóch niezależnych elementów.
Pierwszy element to coś, co znasz - czyli hasło. Drugi element to coś, co masz - czyli urządzenie, aplikacja lub fizyczny klucz bezpieczeństwa. Dopiero oba razem otwierają dostęp do konta.
W praktyce wygląda to tak: wpisujesz login i hasło, a następnie system prosi o potwierdzenie tożsamości - najczęściej przez wpisanie jednorazowego kodu, który pojawia się w aplikacji na Twoim telefonie. Kod jest ważny przez kilkadziesiąt sekund i za każdym razem jest inny. Nawet jeśli ktoś zna Twoje hasło, bez dostępu do Twojego telefonu nie zaloguje się na Twoje konto.
Rodzaje drugiego składnika - nie wszystkie są równie bezpieczne
Istnieje kilka popularnych metod dostarczania drugiego składnika uwierzytelnienia. Różnią się wygodą i poziomem bezpieczeństwa.
1
Kod SMS to najczęściej spotykana metoda - jednorazowy kod wysyłany na numer telefonu. Jest zdecydowanie lepszy niż brak MFA, ale ma jedną poważną słabość: SMS można przechwycić poprzez atak na operatora telefonicznego, tzw. SIM swapping, polegający na przeniesieniu numeru na inną kartę SIM. W środowisku firmowym, tam gdzie to możliwe, warto sięgać po bezpieczniejsze metody.
2
Aplikacja uwierzytelniająca - np. Microsoft Authenticator, Google Authenticator czy Authy - generuje jednorazowe kody bezpośrednio na telefonie, bez udziału sieci telefonicznej. Kody zmieniają się co 30 sekund i nie są wysyłane przez żaden kanał komunikacyjny, co eliminuje ryzyko przechwycenia. To rozwiązanie, które rekomendujemy firmom jako standard.
3
Klucz sprzętowy - fizyczne urządzenie podłączane do portu USB lub komunikujące się przez NFC - to najwyższy poziom zabezpieczenia, stosowany tam gdzie dostęp do systemu musi być chroniony w wyjątkowy sposób: konta administratorów, systemy finansowe, dostęp do krytycznej infrastruktury. Klucz sprzętowy jest odporny na phishing - nawet jeśli pracownik zaloguje się na fałszywej stronie, klucz nie potwierdzi tożsamości, bo weryfikuje też adres serwisu.
4
Powiadomienie push - aplikacja na telefonie wyświetla powiadomienie z prośbą o potwierdzenie logowania jednym kliknięciem. Wygodne, ale wymaga świadomości użytkownika - kliknięcie "zatwierdź" bez sprawdzenia, czy faktycznie właśnie się logujemy, może otworzyć dostęp atakującemu. To zjawisko nazywa się MFA fatigue i polega na zasypywaniu
Dlaczego MFA jest tak skuteczne
Microsoft w swoich raportach dotyczących bezpieczeństwa szacuje, że włączenie uwierzytelniania wieloskładnikowego blokuje ponad 99% ataków na konta - nawet jeśli hasło zostało skompromitowane. To jedna z niewielu statystyk w bezpieczeństwie IT, która jest tak jednoznaczna.
Powód jest prosty: automatyczne ataki, które masowo testują skradzione hasła w różnych serwisach, nie są zaprojektowane do ominięcia drugiego składnika. Gdy napotykają prośbę o kod MFA, po prostu przechodzą do następnego celu. Włączenie MFA sprawia, że konto przestaje być łatwym celem - nawet jeśli hasło wyciekło.
MFA w środowisku firmowym - od czego zacząć
W firmie MFA powinno być włączone przede wszystkim tam, gdzie skutki przejęcia konta byłyby najpoważniejsze.
Pierwszym priorytetem jest poczta e-mail i środowisko Microsoft 365 lub Google Workspace. To centrum firmowej komunikacji, z dostępem do dokumentów, kalendarzy i historii korespondencji. Przejęcie konta pocztowego daje atakującemu ogromne możliwości - od rozsyłania phishingu do innych pracowników, przez dostęp do wrażliwych dokumentów, po resetowanie haseł do innych serwisów powiązanych z tym adresem e-mail.
Drugim priorytetem są konta administratorów - systemów, sieci, serwerów. To konta z najszerszymi uprawnieniami, których przejęcie może oznaczać pełną kontrolę atakującego nad infrastrukturą firmy.
Kolejne w kolejności są systemy, w których przechowywane są dane klientów lub dane finansowe: CRM, ERP, systemy księgowe, platformy e-commerce.
Dobrą praktyką jest wdrożenie MFA jako standardu dla wszystkich kont firmowych - nie tylko dla wybranych systemów czy wybranych pracowników. Każde konto bez MFA jest potencjalnym słabym punktem.
Częsty opór i jak sobie z nim radzić
Wdrożenie MFA w firmie bardzo często spotyka się z oporem pracowników. "To za skomplikowane", "Za długo trwa logowanie", "Po co, skoro mam dobre hasło" - to argumenty, które słyszymy regularnie.
Warto je rozumieć, ale nie można się na nie zgadzać. Dodatkowe kilka sekund przy logowaniu to znikomy koszt w porównaniu z konsekwencjami przejęcia konta firmowego. Kradzież danych klientów, paraliż operacyjny, konieczność powiadomienia UODO o naruszeniu danych - to są realne scenariusze, których MFA skutecznie zapobiega.
W praktyce opór maleje bardzo szybko po wdrożeniu. Aplikacja uwierzytelniająca na telefonie jest prosta w obsłudze, a logowanie z MFA staje się nawykiem po kilku dniach. Klucz do sukcesu to krótkie szkolenie przed wdrożeniem i pokazanie pracownikom, dlaczego ta zmiana jest ważna - nie tylko dla firmy, ale też dla ich prywatnych kont.
MFA a RODO i odpowiedzialność prawna
Warto wspomnieć o aspekcie prawnym. RODO wymaga stosowania odpowiednich środków technicznych ochrony danych osobowych. Organy nadzorcze, oceniając incydenty bezpieczeństwa, biorą pod uwagę, czy firma wdrożyła dostępne i znane środki ochrony.
Brak MFA przy dostępie do systemów zawierających dane osobowe może być traktowany jako zaniedbanie - szczególnie gdy dojdzie do incydentu, który MFA by zapobiegło. Z kolei wdrożone MFA jest dowodem na to, że firma podjęła świadome działania w celu ochrony danych - co ma znaczenie zarówno w postępowaniach administracyjnych, jak i w relacjach z klientami.
Naturalnym uzupełnieniem MFA w środowisku firmowym jest SSO, czyli Single Sign-On. Zamiast logować się osobno do każdego systemu - poczty, CRM, narzędzi projektowych, platformy HR - pracownik loguje się raz, jednym zestawem danych, i uzyskuje dostęp do wszystkich autoryzowanych aplikacji. Jedno silne hasło, jeden składnik MFA, pełny dostęp do środowiska pracy.
Jak wygląda to w Helpwise
Wdrożenie MFA jest jednym ze standardowych elementów, które rekomendujemy i konfigurujemy u naszych klientów. Zaczynamy od kont Microsoft 365 lub Google Workspace, bo to najczęściej używane środowisko i jednocześnie najważniejszy cel dla atakujących.
Pomagamy w wyborze metody uwierzytelniania dopasowanej do specyfiki firmy, konfiguracji polityk dostępu i przeprowadzeniu instruktarzu dla pracowników. Całość wdrożenia zajmuje zwykle kilka godzin - a poziom bezpieczeństwa rośnie natychmiast i mierzalnie.