Wybór odpowiedniej strategii i poznanie, jakie metody MFA sprawdzą się w Twojej organizacji, stanowi kluczową decyzję w zakresie bezpieczeństwa firmy, decydującą o poziomie odporności na ataki phishingowe. Nie wszystkie metody MFA oferują ten sam poziom ochrony, a ataki takie jak SIM swapping czy AiTM (Adversary-in-the-Middle) podważają bezpieczeństwo niektórych rozwiązań.
Czym właściwie jest MFA?
MFA (Multi-Factor Authentication) to metoda uwierzytelniania, która wymaga od użytkownika zweryfikowania swojej tożsamości za pomocą co najmniej dwóch niezależnych czynników. Te czynniki pochodzą z różnych kategorii:
- Wiedza: Coś, co wiesz (hasło, PIN).
- Posiadanie: Coś, co masz (telefon, klucz sprzętowy).
- Cechy fizyczne: Coś, czym jesteś (odcisk palca, skan twarzy).
Kombinacja tych elementów zapewnia znacznie wyższy poziom bezpieczeństwa niż tradycyjne logowanie oparte tylko na haśle.
MFA vs 2FA – Czy to to samo?
Chociaż terminy te są często używane zamiennie, istnieje między nimi subtelna różnica. 2FA, czyli uwierzytelnianie dwuskładnikowe, odnosi się konkretnie do systemów zabezpieczeń wymagających dwóch różnych czynników weryfikacji. MFA, czyli uwierzytelnianie wieloskładnikowe, jest pojęciem szerszym, obejmującym systemy, które wykorzystują dwa lub więcej warstw zabezpieczeń, oferując tym samym potencjalnie wyższy poziom ochrony.
Przegląd metod MFA
- SMS i e-mail to popularne, lecz iluzoryczne metody zabezpieczeń. Kody SMS mogą być przechwycone przez SIM swapping lub podsłuch sieci komórkowej. E-mail jest ryzykowny, ponieważ przejęcie skrzynki pracownika przez hakera umożliwia dostęp do kodów resetujących i autoryzacyjnych.
- TOTP, czyli aplikacje takie jak Google lub Microsoft Authenticator, generują kody lokalnie, które zmieniają się co 30 sekund, co stanowi znaczącą zaletę ze względu na ich działanie offline. Niemniej jednak, główną wadą tego rozwiązania jest brak powiązania z kontekstem sesji, co oznacza, że w przypadku ataku typu Adversary-in-the-Middle (AiTM), gdzie użytkownik wprowadzi kod na fałszywej stronie, napastnik może przechwycić ten kod i błyskawicznie zalogować się na konto ofiary.
- Powiadomienia push z funkcją „Number Matching” stanowią istotny krok w obronie przed atakami typu MFA Fatigue, które polegają na bombardowaniu użytkownika powiadomieniami, aż do momentu, gdy ten, chcąc uniknąć dalszych zakłóceń, bezmyślnie zatwierdzi żądanie. Systemy takie jak Microsoft Entra ID wymagają od użytkownika przepisania cyfr wyświetlanych na ekranie komputera do aplikacji w telefonie, co w znacznym stopniu ogranicza ryzyko nieświadomego akceptowania prób logowania.
- FIDO2 / Klucze Sprzętowe i Passkeys to złoty standard odporny na phishing, stanowiący rozwiązanie zapewniające ochronę przed atakami phishingowymi. Wykorzystując kryptografię asymetryczną, klucz sprzętowy (np. YubiKey) lub funkcja biometryczna telefonu (Passkey) komunikują się bezpośrednio z przeglądarką. W przypadku niezgodności domeny w pasku adresu (np. falszywy-microsoft.com) z domeną przypisaną do klucza, proces uwierzytelniania zostaje natychmiast przerwany, uniemożliwiając hakerowi przechwycenie jakichkolwiek danych.
Dlaczego musisz wdrożyć MFA już teraz?
Uwierzytelnianie wieloskładnikowe (MFA) stanowi skuteczną ochronę przed phishingiem, ponieważ nawet w przypadku ujawnienia hasła, drugi składnik, zwłaszcza klucz FIDO2, uniemożliwia nieautoryzowany dostęp. Ponadto, nowe regulacje unijne, takie jak dyrektywa NIS2 i RODO, nakładają na firmy z kluczowych sektorów obowiązek stosowania silnego uwierzytelniania pod rygorem wysokich kar finansowych. MFA jest również kluczowym elementem strategii Zero Trust, która zapewnia bezpieczeństwo pracy zdalnej, weryfikując tożsamość użytkowników logujących się z różnych sieci, w tym domowych.
Jak wdrożyuć MFA w firmie
Wybór odpowiedniej technologii to zaledwie połowa sukcesu we wdrażaniu MFA. Prawdziwe wyzwanie stanowią ludzie i ich nawyki. Wprowadzenie nagłych zmian w sposobie logowania może prowadzić do paraliżu działu wsparcia i frustracji wśród pracowników.
Przed naciśnięciem jakiegokolwiek przycisku w panelu administracyjnym, dokładnie zmapuj swoje środowisko. Upewnij się, że rozumiesz, kto, skąd i do jakich aplikacji się loguje. Połącz wdrożenie MFA z gruntownym czyszczeniem uprawnień. Jeżeli pracownik działu marketingu nie potrzebuje dostępu do produkcyjnej bazy danych, natychmiast mu go odbierz. MFA chroni konto, ale zasada minimalnych uprawnień (Least Privilege) ogranicza potencjalne szkody w przypadku naruszenia bezpieczeństwa.
Wprowadzenie MFA w całej organizacji naraz może być ryzykowne. Zaleca się podzielenie wdrożenia na fale. Pierwsza fala powinna objąć administratorów IT, zarząd, dział finansowy i główną księgowość, zapewniając im najsilniejsze zabezpieczenia, takie jak klucze YubiKey. Następnie, w drugiej fali, należy wdrożyć MFA dla handlowców, działu HR i marketingu, czyli osób pracujących zdalnie i korzystających z systemów CRM i SaaS. Ostatnia fala powinna dotyczyć pozostałych pracowników, w tym pracowników stacjonarnych i działów operacyjnych.
Co zrobić w przypadku zgubienia telefonu lub zalania klucza sprzętowego kawą? Niezbędne są gotowe i bezpieczne procedury odzyskiwania dostępu. W tym celu: zdefiniuj alternatywne metody weryfikacji oraz utwórz Break-Glass Accounts – zabezpieczone konta administratora do awaryjnego użycia, odseparowane od standardowego MFA, które umożliwią interwencję w przypadku awarii głównego systemu.
Podsumowanie i dobre praktyki
Wdrożenie MFA powinno być procesem, zaczynając od systemów o najwyższym ryzyku, takich jak firmowa poczta (Outlook/Gmail), systemy CRM/ERP oraz dostępy administracyjne. Dla kluczowych kont (IT, Zarząd, Finanse) rekomendujemy klucze sprzętowe YubiKey, natomiast dla reszty zespołu – powiadomienia Push z weryfikacją numeru, co stanowi optymalny balans między wysokim poziomem bezpieczeństwa a wygodą użytkownika.
Nawet najlepsze zabezpieczenia techniczne nie wystarczą, jeśli użytkownicy nie rozumieją ich działania. Kluczowe jest, aby pracownicy wiedzieli, dlaczego wprowadzamy konkretne zmiany w zabezpieczeniach oraz jak rozpoznawać próby wyłudzenia drugiego składnika uwierzytelniania, takie jak fałszywe ekrany logowania TOTP. Świadomość i edukacja użytkowników są niezbędne dla skutecznej ochrony przed zagrożeniami.

