TK
Cyberbezpieczeństwo

Dlaczego MFA zatrzymuje większość przejęć kont

V

Samo hasło dziś nie wystarcza. Sprawdź, jak MFA odcina phishing, wycieki i credential stuffing, zanim ktoś wejdzie na Twoje konto.

Tomasz Karczmarczyk
AutorTomasz Karczmarczyk
4 minuty czytania
Zapisano:
Dlaczego MFA zatrzymuje większość przejęć kont

Uwierzytelnianie wieloskładnikowe (MFA) zatrzymuje większość przejęć kont z banalnego powodu: po kradzieży hasła napastnik nadal stoi przed zamkniętymi drzwiami.

To ma znaczenie, bo samo hasło jest dziś tanim łupem: wypływa z wycieków, wpada w phishing albo da się je testować hurtowo. Microsoft podaje, że 99,9% kompromitowanych kont, które firma obserwuje, nie miało włączonego MFA.

Hasło jest tanie

Hasło nie przegrywa dlatego, że ludzie są wyjątkowo naiwni. Przegrywa dlatego, że można je kraść i testować masowo, bez finezji i bez dużych kosztów.

Właśnie dlatego ataki na logowanie są tak nudne. Napastnik nie musi być geniuszem – wystarczy mu lista adresów, paczka haseł z wycieku i trochę automatyzacji.

Drugi składnik psuje plan

Gdy logowanie wymaga jeszcze kodu z aplikacji, potwierdzenia na urządzeniu albo klucza bezpieczeństwa, samo hasło przestaje być biletem wstępu. Nagle okazuje się, że „mam hasło” nie znaczy już „mam konto”.

Dobrze widać to przy credential stuffingu, czyli automatycznym sprawdzaniu wykradzionych danych logowania w wielu serwisach. Ten atak działa tylko wtedy, gdy jeden sekret naprawdę wystarcza – MFA odcina mu najtańsze paliwo.

Jak to wygląda

Scenariusz jest zwykle prosty. Pracownik używa tego samego hasła do starego serwisu, poczty firmowej i panelu WordPressa; w starym serwisie dochodzi do wycieku, a bot sprawdza ten sam login i hasło, gdzie tylko się da.

Bez MFA taki test kończy się dostępem. Z MFA kończy się frustracją bota, bo po poprawnym haśle nadal brakuje drugiego kroku, a cała ta „sprytna operacja” rozbija się o telefon, aplikację albo klucz.

Nie każdy MFA jest równy

Tu warto odcedzić tani optymizm od rzeczywistości. Każde MFA jest lepsze niż samo hasło, ale nie każda wersja drugiego składnika daje taką samą odporność.

CISA mocno promuje phishing-resistant MFA i wskazuje m.in. klucze bezpieczeństwa FIDO jako skuteczny sposób ograniczania ataków omijających tradycyjne MFA. To ważne, bo zwykłe kody i powiadomienia nadal można próbować wyłudzić bardziej wyrafinowanym oszustwem, podczas gdy rozwiązania oparte na FIDO2/WebAuthn wiążą logowanie z prawdziwą stroną, a nie z jej podróbką.

Najczęstsze błędy

  • „Mamy mocne hasła, więc wystarczy.” Nie wystarczy, bo mocne hasło nadal można ukraść.
  • „SMS załatwia temat.” Nie załatwia – pomaga, ale nadal jest słabszą opcją niż metody odporne na phishing.
  • „Włączymy MFA tylko właścicielowi.” To błąd. Poczta, WordPress, CRM i księgowość też nie istnieją dla ozdoby.
  • „Zrobimy to po wdrożeniu większych rzeczy.” Jasne. Aż ktoś zaloguje się pierwszy.
  • „MFA robi z konta bunkier.” Nie robi. Po prostu odbiera większości przejęć ich ulubioną protezę – samo hasło.

Co z tego wynika w praktyce

Jeśli chcesz ograniczyć realne ryzyko, nie zaczynaj od wszystkiego naraz. Najpierw zabezpiecz konta, których przejęcie boli najbardziej: pocztę firmową, WordPressa, bankowość i systemy z danymi klientów.

Jeśli dziś masz do wyboru „jakiekolwiek MFA” albo jego brak, wybierz jakiekolwiek MFA. Jeśli wdrażasz temat na serio albo chronisz ważne konta, idź w stronę FIDO2/WebAuthn, bo właśnie ten kierunek CISA traktuje jako mocniejszy i odporny na phishing.

Na końcu sprawdź rzecz, którą firmy lubią pomijać, bo psuje im humor: czy MFA zostało naprawdę dokończone. W praktyce często „mamy MFA” znaczy tylko tyle, że ktoś odhaczył wdrożenie, a połowa kont dalej loguje się po staremu.

FAQ

Czy 2FA i MFA to to samo?

Nie całkiem. 2FA oznacza dokładnie dwa składniki, a MFA – dwa lub więcej. W codziennej rozmowie ludzie mieszają te pojęcia i zwykle nie ma z tego większego problemu.

Czy SMS to też MFA?

Tak. To nadal drugi składnik. Problem polega na tym, że CISA traktuje phishing-resistant MFA jako mocniejszy kierunek, a rozwiązania pośrednie jako etap przejściowy, a nie linię mety.

Czy MFA zatrzyma każdy atak?

Nie. Jeśli atakujący przejmie sesję, zmanipuluje użytkownika albo uderzy w odzyskiwanie konta, sama druga warstwa nie czyni cudów. Ale nadal rozbija ogromną część najtańszych i najczęstszych prób przejęcia.

Od czego zacząć w małej firmie?

Od miejsc, w których jedno przejęte konto robi największy bałagan. Zwykle będzie to poczta, WordPress, bankowość i wszystko, co dotyka klientów albo pieniędzy.

Co dalej

Jeśli chcesz sprawdzić, które logowania w Twojej firmie nadal wiszą na samym haśle, zacznij od poczty i WordPressa. Tam problem zwykle jest latami ignorowany.

Tomasz Karczmarczyk
O autorze
Tomasz Karczmarczyk
Jestem edukatorem AI i inżynierem oprogramowania. Pomagam firmom odzyskać czas, który codziennie ginie w powtarzalnych zadaniach. Audytuję procesy i narzędzia, wdrażam automatyzacje i buduję zespoły wspierane przez AI. Założyłem także PressShield – markę specjalizującą się w cyberbezpieczeństwie witryn opartych na WordPressie.
in
V

Powiązane

Zrozumienie jednego strzępu to za mało, by pojąć nadchodzące zmiany. Zanurz dłonie głębiej w kurz archiwum i odczytaj inne z tego samego stosu.

Menedżer haseł to nie wygoda, tylko konieczność
6 minut czytania

Menedżer haseł to nie wygoda, tylko konieczność

Jeden wyciek nie musi sparaliżować całej Twojej firmy. Sprawdź, jak menedżer haseł odcina efekt domina, ogranicza szkody i dlaczego to konieczność.

Zapisano: