Bezpieczne logowanie: 2FA, klucze sprzętowe i Passkeys w porównaniu
Porównanie wszystkich metod ochrony logowania. Dowiedz się jak działają aplikacje uwierzytelniające, klucze sprzętowe i passkeys - i którą wybrać.
Powrót do bloga
Bądźmy szczerzy. Twoje hasło jest prawdopodobnie tragiczne.
Może to imię twojego psa plus rok urodzenia. Może używasz tego samego od 2014 roku. A może masz swój “system” - po prostu zwiększasz cyfrę na końcu. Password1, Password2, Password3… genialne, prawda?
Ale nawet dobre hasło to dziś za mało. Credential stuffing bierze wyciekłe hasła z jednego wycieku i próbuje ich wszędzie indziej. Phishing podstępem wyciąga twoje hasło na fałszywej stronie. Wycieki danych wciąż obnażają miliardy kont - możesz sprawdzić czy twoje dane wyciekły już teraz.
Samo hasło to jedna ściana pełna pęknięć. Potrzebujesz drugiej warstwy. Porównajmy więc wszystkie opcje i zobaczmy, które naprawdę warto stosować.
Kody SMS i email
Logujesz się, telefon brzęczy, wpisujesz sześciocyfrowy kod. Najpopularniejsza forma 2FA, a jednocześnie najsłabsza.
Kody SMS podróżują przez sieć twojego operatora, która może zostać przejęta przez SIM swapping albo ataki na protokół SS7. Kody email nie są dużo lepsze - jeśli ktoś ma dostęp do twojej skrzynki, te kody są jego.
Napisaliśmy szczegółowy artykuł o tym, dlaczego SMS 2FA to za mało, jeśli chcesz poznać szczegóły.
Werdykt: Lepsze niż nic, ale to twoja ostatnia deska ratunku. Przełącz się, jak tylko pojawi się coś lepszego.
Aplikacje uwierzytelniające (TOTP)
Tu robi się ciekawie. Zamiast dostawać kod SMS-em, aplikacja generuje go bezpośrednio na twoim urządzeniu. Żadna sieć nie jest potrzebna.
Przy konfiguracji aplikacja i serwis wymieniają się wspólnym sekretem. Pomyśl o tym jak o tajnym uścisku dłoni, który zmienia się co 30 sekund. Aplikacja generuje kod na podstawie tego sekretu i aktualnego czasu, serwer robi te same obliczenia, i jeśli się zgadzają - wchodzisz. To właśnie TOTP (Time-based One-Time Password).
Zalety: Działa offline, za darmo, obsługiwane prawie wszędzie, a twój operator nie może zostać nabrany na oddanie twoich kodów.
Minusy: Wciąż podatne na phishing, jeśli atakujący przekazuje twój kod do prawdziwej strony w czasie rzeczywistym. A jeśli zgubisz telefon bez kopii zapasowej, zostajesz odcięty od kont.
Ważna wskazówka: Trzymaj aplikację 2FA osobno od menedżera haseł. Jeśli ktoś przejmie twój menedżer haseł, a on ma też kody TOTP, dostaje wszystko za jednym zamachem. Dwie osobne aplikacje oznaczają, że musiałby włamać się do obu.
Wybierz aplikację, która jest open-source, wspiera szyfrowane kopie zapasowe i nie wymaga konta w chmurze.
Push Notification 2FA
Zamiast wpisywać kod, dostajesz powiadomienie: “Ktoś próbuje się zalogować. Czy to ty?” Klikasz zatwierdź. Gotowe.
Serwis wysyła wyzwanie do twojego zarejestrowanego urządzenia, potwierdzasz kliknięciem (czasem z biometrią), a podpisana odpowiedź wraca. Żadnych kodów do wpisywania, żadnych cyfr do pomylenia.
Zalety: Mega proste, trudniejsze do phishingu niż TOTP, bo nie ma kodu do przechwycenia.
Minusy: Wymaga internetu po obu stronach. Przywiązane do dostawcy usługi. I jest pewien paskudny trik zwany MFA fatigue - atakujący, który ma twoje hasło, spamuje powiadomienia push o 3 w nocy, dopóki nie klikniesz “Zatwierdź” na wpół przytomny, żeby w końcu dał spokój.
Jeśli kiedykolwiek dostaniesz powiadomienia push, których nie wywołałeś, zawsze je odrzuć i natychmiast zmień hasło.
Hardware Security Keys
Małe fizyczne urządzenie USB lub NFC, które podłączasz albo przykładasz przy logowaniu. Jeśli aplikacje uwierzytelniające to solidny zamek, to klucze sprzętowe to drzwi do skarbca bankowego.
Klucz generuje unikalną parę kluczy: klucz prywatny (zamknięty w urządzeniu na zawsze) i klucz publiczny (udostępniony serwisowi). Przy logowaniu serwis wysyła wyzwanie, klucz je podpisuje, a serwis weryfikuje. Proste.
Zabójcza funkcja to origin binding. Klucz sprawdza rzeczywistą domenę strony, zanim cokolwiek podpisze. Na google.com? Odpowiada. Na g00gle-login.com? Odmawia. Automatycznie. Nawet najbardziej przekonująca strona phishingowa nie zadziała, bo klucz dosłownie odmówi współpracy z fałszywą stroną.
Zalety: Najsilniejsza dostępna ochrona przed phishingiem. Klucz prywatny nie może być wyciągnięty z urządzenia. Działa offline. Nic do wpisywania. Żadnej baterii do rozładowania.
Minusy: Kosztuje, musisz go nosić przy sobie, a zgubienie jedynego klucza bez kodów zapasowych to koszmar.
Praktyczna rada: Zawsze kup dwa klucze. Zarejestruj oba wszędzie. Jeden przy kluczach, drugi bezpiecznie w domu. Szukaj certyfikacji FIDO2 i wsparcia USB-C/NFC.
Martwisz się, że ktoś ukradnie twój klucz? Nie musisz. Wciąż potrzebowałby twojego hasła, a większość kluczy wspiera też zabezpieczenie PIN-em.
Passkeys
Ta sama kryptografia co w kluczach sprzętowych, ale klucz żyje na twoim telefonie, laptopie lub w menedżerze haseł zamiast na osobnym urządzeniu. To rozwiązanie, które wreszcie sprawia, że silne zabezpieczenia są bezwysiłkowe.
Twoje urządzenie generuje parę kluczy, przechowuje klucz prywatny w secure enclave, a przy logowaniu weryfikujesz się biometrycznie (odcisk palca, twarz) lub PIN-em. Żadnego hasła do zapamiętania, żadnego kodu do wpisywania, żadnego urządzenia do podłączania. I tak samo jak klucze sprzętowe, automatycznie sprawdza domenę - phishing zablokowany.
Zalety: Odporność na phishing, nic do zapamiętania, wbudowane we wszystkie główne systemy operacyjne i przeglądarki, synchronizacja między urządzeniami, zastępuje hasło I 2FA w jednym kroku.
Minusy: Nie wszystkie strony je jeszcze obsługują. Synchronizacja między platformami bywa myląca, jeśli przeskakujesz między ekosystemami. A jeśli synchronizujesz przez konto w chmurze, ufasz temu dostawcy.
Są dwa rodzaje: synced passkeys robią kopię zapasową do chmury i pojawiają się na wszystkich twoich urządzeniach (wygodne, ale musisz zaufać chmurze), oraz device-bound passkeys żyją tylko na jednym urządzeniu (bezpieczniejsze, ale jak je zgubisz, przepadają). Klucze sprzętowe to w zasadzie device-bound passkeys w fizycznej formie.
Dla większości ludzi synced passkeys w sprawdzonym menedżerze haseł to najlepszy kompromis.
Porównanie
| Cecha | SMS/Email | Aplikacje | Push | Klucze sprzętowe | Passkeys |
|---|---|---|---|---|---|
| Ochrona przed phishingiem | Brak | Brak (relay w czasie rzeczywistym) | Częściowa | Silna | Silna |
| Działa offline | Nie | Tak | Nie | Tak | Tak |
| Łatwość konfiguracji | Bardzo łatwa | Łatwa | Łatwa | Średnia | Łatwa |
| Wygoda codziennego użycia | Łatwa | Łatwa | Bardzo łatwa | Łatwa (podłącz+dotknij) | Bardzo łatwa (biometria) |
| Odzyskanie po utracie | Łatwe | Trudne bez kopii zapasowej | Średnie | Potrzebny zapasowy klucz | Zależy od synchronizacji |
| Koszt | Za darmo | Za darmo | Za darmo | Jednorazowy zakup | Za darmo |
| Obsługa przez strony | Uniwersalna | Bardzo szeroka | Ograniczona | Rośnie | Rośnie szybko |
Zauważ, jak passkeys trafiają w idealny punkt: silne bezpieczeństwo przy bardzo łatwym codziennym użyciu. Dlatego cała branża pcha w ich kierunku.
Jakiej metody użyć i gdzie
Krytyczne konta (email, menedżer haseł, bankowość): klucze sprzętowe lub passkeys. Najlepiej jedno i drugie - passkey do codziennego użytku, klucz sprzętowy jako backup.
Ważne konta (media społecznościowe, chmura, praca): passkeys jeśli obsługiwane, w przeciwnym razie TOTP z aplikacją uwierzytelniającą. Zawsze zapisuj kody zapasowe.
Reszta (fora, newslettery): aplikacja uwierzytelniająca jeśli dostępna, SMS tylko jeśli nie ma nic innego. Jakikolwiek drugi składnik bije samo hasło.
Ogólne zasady: Używaj passkeys w pierwszej kolejności, gdy są dostępne. Zawsze skonfiguruj metodę zapasową. Odchodź od SMS-ów, zaczynając od najważniejszych kont.
Podsumowanie
Oto twój plan działania:
- Sprawdź swoje obecne 2FA. Zacznij od emaila i bankowości.
- Zamień SMS na aplikację uwierzytelniającą wszędzie, gdzie to możliwe.
- Włącz passkeys w każdym serwisie, który je obsługuje.
- Rozważ klucze sprzętowe dla najważniejszych kont. Dwa klucze, oba zarejestrowane.
Jeśli wciąż polegasz na kodach SMS, pora iść dalej.
Zacznij od najważniejszych kont, ulepszaj jedno po drugim, a będziesz mieć konfigurację, którą naprawdę trudno przełamać. Twoje przyszłe ja ci podziękuje.