Uwierzytelnianie dwuskładnikowe w prostych słowach

Uwierzytelnianie dwuskładnikowe to chyba jedyne ustawienie bezpieczeństwa o największym wpływie, z którego większość ludzi nie korzysta. Według publikowanych liczb Microsoft blokuje ono ponad 99% zautomatyzowanych przejęć kont. Mimo to ma opinię uciążliwego — częściowo dlatego, że trzy popularne warianty („kod SMS”, „aplikacja uwierzytelniająca”, „klucz bezpieczeństwa”) bywają opisywane tak, jakby były wymienne. Nie są. Oto wersja praktyczna.

Co faktycznie robi 2FA

Hasła wyciekają nieustannie. Zrzuty baz, strony phishingowe, malware w przeglądarce, recykling haseł — zbyt wiele dróg, by jedno z twoich haseł trafiło do czyjegoś arkusza. 2FA dokłada drugą weryfikację powiązaną z czymś, co masz, a nie tylko z tym, co wiesz. Atakujący kradnący twoje hasło musi w czasie rzeczywistym ukraść także ten drugi czynnik na tym samym urządzeniu — to znacznie trudniejsze.

2FA przez SMS

Sześciocyfrowy kod przychodzi SMS-em. Wpisujesz go. To najprostsza metoda, bo telefon ma każdy; z tego samego powodu jest to dolna granica akceptowalnego bezpieczeństwa: wystarczy, by zatrzymać boty credential stuffing, ale jest podatna na ataki SIM-swap (oszust nakłania operatora do przeniesienia twojego numeru) oraz na ciche przechwytywanie SMS w słabszych sieciach.

Dobre dla: kont o niskiej wartości, gdzie nie chcesz instalować kolejnej aplikacji. Fora, sklepy internetowe, listy mailingowe.

Złe dla: poczty, bankowości, portali rządowych — wszystkiego, co kontroluje inne konta.

Aplikacje uwierzytelniające (TOTP)

Aplikacje takie jak Google Authenticator, 1Password, Bitwarden i Authy generują nowy sześciocyfrowy kod co 30 sekund na podstawie sekretu przechowywanego tylko na twoim urządzeniu. Żadnych SMS-ów, żadnego operatora — kody działają offline. Phishing, który przechwytuje hasło i jeden kod, nadal może zadziałać, ale SIM-swap już nie ma znaczenia.

Wskazówka: gdy strona pokazuje kod QR, zapisz obok także tekstowy seed (większość aplikacji uwierzytelniających pozwala go wyeksportować). Jeśli zgubisz telefon bez seeda i bez kodów odzyskiwania, każde konto będziesz resetować od zera.

Dobre dla: niemal wszystkiego. Większość dostawców poczty, platform społecznościowych, giełd krypto i narzędzi deweloperskich obsługuje TOTP, a jest bezpłatne.

Klucze bezpieczeństwa (FIDO2 / WebAuthn / passkey)

Klucz USB lub NFC (YubiKey, Titan, ostatnio także „passkey” wbudowane w pęki kluczy iOS i Android), który kryptograficznie podpisuje wyzwanie logowania. Kluczowe: jest powiązany z domeną serwisu — strona phishingowa wyglądająca identycznie jak prawdziwa po prostu nie dostanie podpisu. To jedyna powszechna metoda 2FA, która odpiera dobrze przygotowany phishing.

Dobre dla: głównej poczty, menedżera haseł, wszystkiego, czego nie możesz stracić. Kup dwa klucze; zarejestruj oba; jeden trzymaj w szufladzie.

Gdzie pasują numery tymczasowe

Tymczasowe numery SMS świetnie sprawdzają się na etapie pierwszej rejestracji, ale nie nadają się do bieżącego 2FA przez SMS — zanim trzeba będzie odebrać kod, numer wróci do puli. Najlepsza praktyka: zarejestruj się numerem tymczasowym, od razu skonfiguruj TOTP w ustawieniach bezpieczeństwa konta i zapisz kody odzyskiwania w bezpiecznym miejscu. Wtedy tymczasowy numer może spokojnie zniknąć.

Kody odzyskiwania zasługują na osobną wzmiankę

Niemal każdy ekran konfiguracji 2FA oferuje listę jednorazowych kodów odzyskiwania. Wydrukuj je lub zapisz w menedżerze haseł. To one pozwolą wrócić, gdy stracisz wszystkie urządzenia. Nie omijaj tego kroku — odzyskiwanie konta bez nich często wymaga dokumentów tożsamości i ciągnie się tygodniami.

Szybkie rekomendacje

• Poczta i menedżer haseł: najpierw klucz bezpieczeństwa, TOTP jako zapas.
• Bank, broker, giełda: najwyższy poziom, jaki oferują.
• Społecznościówki, narzędzia deweloperskie, służbowe SaaS: TOTP.
• Przypadkowe forum domagające się numeru: tymczasowy SMS, potem TOTP po rejestracji.