Nowa generacja kluczy sprzętowych: FIDO2, passkeys i jak wdrożyć logowanie bez haseł w środowisku firmowym

Przez
Irena Chmielewski
-
0
14
Rate this post

Nawigacja:

Dlaczego hasła przegrywają: punkt wyjścia do logowania bez haseł

Codzienna rzeczywistość haseł w firmach

Hasła w środowisku firmowym od lat są fundamentem uwierzytelniania, ale w praktyce widać, że ten fundament jest kruchy. Pracownicy recyklingują te same hasła między systemami, zapisują je na karteczkach przy monitorze, w notatnikach, a czasem w plikach „hasla.xlsx”. Nawet polityki typu „minimum 12 znaków, wielka litera, cyfra, znak specjalny” powodują zwykle tylko to, że hasło staje się bardziej irytujące – niekoniecznie bezpieczniejsze.

W małych i średnich firmach bardzo często występuje prosty schemat: jedno silniejsze hasło do skrzynki mailowej, a potem wszędzie indziej te same lub lekko zmodyfikowane kombinacje. Gdy pojawia się wymóg comiesięcznej zmiany, pracownicy dopisują kolejne cyfry na końcu – „HasloFirmowe2023!”, „HasloFirmowe2023!!” i tak dalej. Z punktu widzenia atakującego to nadal łatwe do złamania, szczególnie przy użyciu słowników opartych o wycieki.

Nad tym wszystkim wisi efekt zmęczenia użytkowników. Pracownicy mają zbyt wiele kont, zbyt wiele polityk, zbyt wiele wyjątków. Dochodzi do sytuacji, w której osoba o krytycznym dostępie (np. księgowa) trzyma główne hasło do systemu finansowo-księgowego w notesie, bo „inaczej zapomni i nie będzie mogła pracować”. Te decyzje są racjonalne z perspektywy użytkownika, ale skrajnie niebezpieczne z perspektywy bezpieczeństwa.

Jak wygląda typowy atak na konto pracownika

Atakujący rzadko łamią hasła metodą „bruteforce na ślepo”. Miękkim podbrzuszem jest człowiek oraz ponownie używane poświadczenia. Najczęstsze scenariusze to:

  • Phishing e‑mailowy – fałszywa strona logowania (np. „Office 365”, „panel VPN”, „poczta firmowa”), na której pracownik sam podaje hasło.
  • Credential stuffing – automatyczne testowanie loginów i haseł pochodzących z innych wycieków, aż któreś zadziała w Twoim systemie.
  • Keylogger lub malware – zainfekowany komputer rejestruje wciśnięcia klawiszy, przechwytując hasło w momencie wpisywania.
  • Atak na pomoc techniczną – podszywanie się pod pracownika, który „zapomniał hasła” i próba wyłudzenia resetu na inny e‑mail lub telefon.

Mit brzmi: „Silne, długie hasło rozwiązuje problem”. Rzeczywistość jest taka, że jeśli hasło zostanie podane na fałszywej stronie lub skradzione z innej usługi, nie ma znaczenia, że ma 20 znaków i pięć znaków specjalnych. Problemem jest to, że hasło jako sekret krąży w wielu miejscach i jest przekazywane użytkownik–serwer, co otwiera pole do phishingu i przejęć.

Koszty operacyjne haseł i zgubne polityki bezpieczeństwa

Pomijając samo ryzyko ataków, hasła są drogie w utrzymaniu. Dział IT spędza nieproporcjonalnie dużo czasu na resetowaniu kont, odblokowywaniu użytkowników i wyjaśnianiu, jak „ustawić poprawne hasło zgodnie z polityką”. Każdy taki incydent to:

  • czas administratora lub helpdesku,
  • przestój pracownika, który nie może się zalogować,
  • często stres i nerwy po obu stronach słuchawki.

Prosty przykład: firma zatrudniająca kilkudziesięciu pracowników liczy zgłoszenia do helpdesku związane z hasłami w dziesiątkach miesięcznie. Kilka minut na zgłoszenie mnożone przez liczbę spraw daje godziny „przepalonego” czasu. W większych organizacjach powstają wręcz osobne zespoły do obsługi samych resetów i odblokowań kont.

Dodatkowo wiele polityk bezpieczeństwa, które wydają się rozsądne na papierze, działa przeciwko organizacji. Obowiązkowa częsta zmiana hasła w praktyce:

  • zachęca do stosowania wzorców łatwych do przewidzenia,
  • skłania do zapisywania haseł w widocznych miejscach,
  • obniża komfort pracy, co w dłuższej perspektywie skutkuje „obchodzeniem” zasad.

Dlatego hasła przegrywają nie tylko z powodu ataków technicznych, ale przede wszystkim ze względu na ludzką naturę. Logowanie bez haseł oraz odporne na phishing metody MFA próbują ten konflikt rozwiązać, zastępując tajny tekst czymś, czego nie trzeba pamiętać i nie da się łatwo ukraść socjotechniką.

Od U2F do FIDO2 i passkeys: krótkie kompendium pojęć

FIDO Alliance i ewolucja od U2F do FIDO2

Za obecnym trendem logowania bez haseł stoi FIDO Alliance – konsorcjum firm technologicznych (m.in. Google, Microsoft, Apple, producenci kluczy), które stworzyło otwarte standardy uwierzytelniania. Pierwszym szerzej znanym standardem był U2F (Universal 2nd Factor), stworzony pierwotnie z udziałem Google i Yubico jako prosty, odporny na phishing drugi składnik logowania.

U2F miał jeden główny cel: zabezpieczyć logowanie do serwisów internetowych (np. Gmail, GitHub) dodatkowym fizycznym kluczem. Działał dobrze, ale był ograniczony – wymagał hasła jako pierwszego składnika i nie pozwalał na pełne „passwordless”, a integracja bywała zależna od konkretnych przeglądarek i API.

Następcą U2F jest FIDO2, który łączy dwa elementy:

  • WebAuthn – standard W3C definiujący, jak przeglądarka rozmawia z serwerem podczas uwierzytelniania i rejestracji kluczy.
  • CTAP (Client to Authenticator Protocol) – protokół komunikacji między urządzeniem użytkownika (np. laptop, telefon) a autentykatorem (np. klucz USB, moduł sprzętowy w telefonie).

FIDO2 pozwala nie tylko na używanie kluczy jako drugiego składnika, ale również na pełne logowanie bez haseł, gdzie klucz (sprzętowy lub wbudowany) jest jedynym wymaganym składnikiem, często dodatkowo chronionym PIN-em lub biometrią.

Definicje: klucz sprzętowy, FIDO2, WebAuthn, CTAP, passkey

Kilka pojęć przewija się ciągle i dobrze jest uporządkować je w prosty sposób:

  • Klucz sprzętowy – fizyczne urządzenie (najczęściej USB, NFC lub karta), które przechowuje klucze kryptograficzne i wykonuje operacje podpisu. Przykład: niewielki „pendrive” z przyciskiem, który wkłada się do portu USB.
  • FIDO2 – rodzina standardów (WebAuthn + CTAP) opisująca, jak serwer, przeglądarka/klient i autentykator mają ze sobą współpracować przy uwierzytelnianiu.
  • WebAuthn – interfejs przeglądarki (JavaScript API) do komunikacji z autentykatorem FIDO2. To dzięki niemu strona może poprosić o „zarejestruj klucz” lub „uwierzytelnij użytkownika przy użyciu klucza”.
  • CTAP – protokół umożliwiający komunikację pomiędzy komputerem/telefonem a autentykatorem (np. kluczem USB lub wbudowanym modułem bezpieczeństwa).
  • Passkey – konkretny sposób przechowywania i zarządzania poświadczeniami FIDO (np. w ekosystemie Google, Apple, Microsoft), często synchronizowany między urządzeniami użytkownika.
  • Resident key / discoverable credential – poświadczenie zapisane bezpośrednio na autentykatorze (kluczu), które może być odnalezione bez podawania loginu, co ułatwia pełne logowanie bez haseł.

Mit, który się pojawia: „passkeys to tylko nowa nazwa kluczy sprzętowych”. W rzeczywistości passkey to bardziej koncepcja poświadczeń FIDO przechowywanych i zarządzanych przez system/ekosystem (np. iCloud Keychain, Google Password Manager), często z możliwością synchronizacji między urządzeniami i backupu. Klucz sprzętowy jest jednym z możliwych autentykatorów, ale passkey może być również związany z wbudowanym modułem w telefonie czy laptopie.

Logowanie bez haseł, MFA i phishing-resistant MFA

W rozmowach o bezpieczeństwie często mieszają się trzy pojęcia:

  • Logowanie bez haseł (passwordless) – użytkownik nie wprowadza hasła. Zamiast tego używa klucza FIDO2, biometrii, kodu z aplikacji mobilnej lub innego mechanizmu. Poświadczeniem jest coś innego niż zapamiętany tekst.
  • MFA (Multi-Factor Authentication) – logowanie z więcej niż jednym czynnikiem (coś, co wiesz; coś, co masz; coś, czym jesteś). Klasyka to hasło + SMS, hasło + aplikacja OTP, hasło + klucz sprzętowy.
  • Phishing-resistant MFA – wieloskładnikowe uwierzytelnianie zaprojektowane tak, by nie dało się go łatwo obejść przez klasyczny phishing (np. przekierowanie na fałszywą stronę). Tu kluczową rolę odgrywają FIDO2/WebAuthn i powiązanie z domeną (origin binding).

Passwordless nie zawsze jest MFA. Przykład: logowanie do laptopa przy użyciu samej twarzy (Face ID, Windows Hello bez dodatkowego czynnika) jest jednoskładnikowe, choć bezhasłowe. Z drugiej strony logowanie hasłem i kodem SMS to MFA, ale podatne na phishing i przechwycenie kodu (SIM swapping, złośliwe proxy).

W środowisku firmowym optymalny scenariusz coraz częściej wygląda tak: passwordless + phishing-resistant MFA w jednym. Czyli np. klucz FIDO2 chroniony PIN-em lub biometrią (coś, co masz + coś, czym jesteś lub co wiesz), powiązany kryptograficznie z konkretną domeną. Przy takim modelu klasyczny phishing z użyciem fałszywej strony traci sens – nawet jeśli użytkownik kliknie zły link, klucz nie zadziała dla obcej domeny.

Gdzie już dziś korzystasz z FIDO2 i passkeys, nawet nieświadomie

Wiele osób ma kontakt z FIDO2 i passkeys, choć nie używa tej nazwy. Przykładowe sytuacje:

  • Logowanie do Google z użyciem „klucza bezpieczeństwa” lub powiadomienia na telefonie, gdzie urządzenie potwierdza tożsamość kryptograficznie.
  • Logowanie do Apple ID gdzie system proponuje użycie biometrii (Touch ID/Face ID), a pod spodem działa mechanizm powiązania z kluczem sprzętowym w Secure Enclave.
  • Uwierzytelnianie w Microsoft 365 / Azure AD przy pomocy Windows Hello for Business lub zewnętrznego klucza FIDO2.

Logowanie bez haseł w firmie nie wymaga więc „kosmicznych” technologii. Pod spodem są te same mechanizmy, które od lat napędzają logowanie do popularnych usług. Różnica polega na tym, żeby zastosować je świadomie, z polityką, zarządzaniem i procedurami dla pracowników.

Jak działają klucze sprzętowe i passkeys pod maską – w wersji „dla ludzi”

Podstawy kryptografii klucza publicznego w praktyce

Klucze FIDO2 i passkeys opierają się na kryptografii klucza publicznego. Zamiast jednego sekretu (hasła) używana jest para kluczy:

  • klucz prywatny – pozostaje wyłącznie na autentykatorze (kluczu sprzętowym, telefonie, laptopie) i nigdy go nie opuszcza,
  • klucz publiczny – trafia do serwera podczas rejestracji i może być udostępniany każdemu bez szkody dla bezpieczeństwa.

Podczas logowania serwer wysyła losowe wyzwanie (challenge), które autentykator podpisuje kluczem prywatnym. Serwer weryfikuje podpis za pomocą klucza publicznego, który wcześniej otrzymał. Jeśli podpis jest prawidłowy, wiadomo, że:

  • posiadający klucz prywatny użytkownik jest „ten sam”,
  • komunikacja dotyczy właściwej domeny (dzięki powiązaniu origin),
  • atakujący nie poznał żadnego sekretu, ponieważ klucz prywatny nie był nigdzie wysyłany.

W przeciwieństwie do hasła, które jest tym samym ciągiem znaków wykorzystywanym wielokrotnie, klucze kryptograficzne generowane są osobno dla każdej usługi. Nawet jeśli jedna usługa zostanie zhakowana, atakujący poznaje co najwyżej klucz publiczny – nieszkodliwy z punktu widzenia bezpieczeństwa konta.

Rejestracja klucza: co się dzieje za kulisami

Podczas rejestracji klucza FIDO2 lub passkeya w danym serwisie webowym dzieje się kilka kroków, z których użytkownik widzi tylko komunikaty w przeglądarce. Od strony technicznej wygląda to tak:

  1. Serwer generuje żądanie „stwórz poświadczenie” (create credential) z losowym wyzwaniem, identyfikatorem użytkownika i nazwą domeny (origin).
  2. Przeglądarka wywołuje API WebAuthn i przekazuje żądanie do autentykatora (klucza lub wbudowanego modułu).
  3. Autentykator generuje parę kluczy (prywatny/publiczny) powiązaną z konkretną domeną i opcjonalnie zapisuje część informacji jako resident key (discoverable credential).

    4. Uwierzytelnianie: co dokładnie podpisuje klucz

    Podczas logowania schemat wygląda bardzo podobnie do rejestracji, ale zamiast tworzyć nowe poświadczenie, autentykator je wykorzystuje:

  1. Serwer generuje żądanie „uwierzytelnij” (get assertion) z losowym wyzwaniem, informacją o domenie i listą akceptowanych typów autentykatorów.
  2. Przeglądarka wywołuje WebAuthn, wyświetla użytkownikowi prośbę o użycie klucza lub biometrii i przekazuje żądanie do autentykatora.
  3. Autentykator sprawdza, czy posiada poświadczenie powiązane z daną domeną. Jeśli tak – prosi użytkownika o potwierdzenie (dotknięcie, PIN, biometria).
  4. Po potwierdzeniu autentykator podpisuje wyzwanie kluczem prywatnym oraz dołącza metadane (np. licznik użyć, identyfikator poświadczenia).
  5. Serwer weryfikuje podpis i porównuje licznik (chroni to m.in. przed odtworzeniem starych odpowiedzi – replay attack).

Mit, który się często pojawia: „klucz sprzętowy wysyła hasło zamiast użytkownika”. Nic takiego się nie dzieje. Do serwera nigdy nie trafia żaden wspólny sekret – wyłącznie podpisy nad losowymi wyzwaniami. Dlatego przechwycenie ruchu sieciowego nie daje atakującemu materiału, którego mógłby potem ponownie użyć do logowania.

Po co jest PIN lub biometria na kluczu i w passkeys

Wiele osób myli PIN do klucza FIDO2 z „drugim hasłem”. To w praktyce lokalna blokada urządzenia, a nie dodatkowy sekret wysyłany gdziekolwiek. Działa podobnie jak kod odblokowania telefonu:

  • chroni przed użyciem klucza przez osobę, która go fizycznie ukradnie,
  • jest weryfikowany przez sam autentykator, lokalnie,
  • serwer widzi tylko efekt (czy podpis został poprawnie wygenerowany), ale nie zna PIN-u ani danych biometrycznych.

W przypadku biometrii (odcisk palca, twarz) mechanizm jest jeszcze prostszy: dane biometryczne nie opuszczają urządzenia. Moduł bezpieczeństwa (Secure Enclave, TPM lub odpowiednik) trzyma szablony i odpowiada jedynie „tak/nie” na pytanie, czy biometria pasuje. Dopiero wtedy odblokowywany jest klucz prywatny wykorzystywany do podpisu.

Tu również przewija się mit: „passkeys są mniej bezpieczne, bo Apple/Google mają moje odciski palców w chmurze”. Rzeczywistość jest znacznie nudniejsza: w chmurze synchronizowane są zaszyfrowane poświadczenia FIDO, a biometrią odblokowujesz klucz szyfrujący na swoim urządzeniu. Żaden dostawca nie potrzebuje surowych danych biometrycznych do działania passkeys.

Różnice między kluczem sprzętowym a passkey synchronizowanym

Z punktu widzenia protokołu WebAuthn serwer nie widzi dużej różnicy między fizycznym kluczem USB a passkeyem przechowywanym w telefonie i synchronizowanym przez iCloud czy Google. Natomiast z perspektywy organizacji te dwa podejścia mają inne cechy praktyczne:

  • Klucz sprzętowy (hardware key) – fizyczne urządzenie przypisane do użytkownika; łatwo je policzyć, wydać, odebrać; trudniej sklonować lub potajemnie wyeksportować klucz prywatny.
  • Passkey synchronizowany – poświadczenie związane z kontem w ekosystemie (Apple ID, Google, Microsoft); wygodne przy wielu urządzeniach, ale mocniej wiąże tożsamość firmową z prywatnym kontem użytkownika, jeśli nie jest to dobrze zaprojektowane.

W praktyce w środowisku firmowym często wykorzystuje się model mieszany: klucze sprzętowe dla dostępu do zasobów wysokiego ryzyka (administratorzy, dział finansów, dostęp do produkcji), a passkeys powiązane z laptopem/telefonem pracownika do codziennego logowania do chmury czy systemów intranetowych. Daje to rozsądny balans między bezpieczeństwem, kosztami a wygodą.

Dłonie piszące na laptopie obok podłączonego klucza sprzętowego USB
Źródło: Pexels | Autor: cottonbro studio

Przegląd sprzętu i rozwiązań: od pendrive’a z guzikiem po wbudowane secure enclaves

Klasyczne klucze USB/NFC – „pendrive z guzikiem”

Najbardziej rozpoznawalne autentykatory FIDO2 to małe klucze USB (czasem z NFC lub Bluetooth), które użytkownik nosi na breloku. Z punktu widzenia firmy są one atrakcyjne, bo:

  • są stosunkowo tanie i łatwe do dystrybucji,
  • można je przypisać w ewidencji do konkretnego pracownika lub roli,
  • obsługują wiele standardów: FIDO2, U2F, czasem smart card/PIV.

Klucz sprzętowy jest dobrym wyborem do:

  • dostępu administratorów do systemów krytycznych,
  • logowania pracowników z dostępem do danych wrażliwych (HR, finanse, R&D),
  • kont z uprawnieniami do konfiguracji chmury (Azure, AWS, GCP).

Mit: „jak zgubię klucz, to stracę dostęp na zawsze”. Rzeczywistość jest bardziej przyziemna: poprawna polityka zakłada co najmniej dwa autentykatory na ważne konto (np. dwa klucze sprzętowe lub klucz + passkey na służbowym telefonie) oraz procedurę odzyskiwania dostępu z udziałem działu IT lub helpdesku.

Klucze z dodatkowymi certyfikatami (PIV, smart card)

Część kluczy FIDO2 obsługuje równolegle inne standardy – np. PIV (smart card) czy OpenPGP. Dla wielu organizacji to istotne, bo taki klucz może równocześnie:

  • służyć do logowania do systemów zgodnych z FIDO2/WebAuthn,
  • pełnić funkcję karty inteligentnej do logowania w systemach starszego typu (np. Windows z logowaniem na smart card),
  • podpisywać i szyfrować pocztę e-mail (S/MIME, PGP).

Przy migracji do passwordless często wygodnie jest, gdy jeden fizyczny nośnik zastępuje kilka wcześniejszych tokenów i kart. Trzeba jednak uważać, żeby nie związać się zbyt mocno z jednym dostawcą, jeśli w planach jest rozbudowana architektura z wieloma systemami.

TPM, Secure Enclave, Titan – wbudowane moduły bezpieczeństwa

Nowoczesne laptopy, telefony i niektóre stacje robocze mają na pokładzie dedykowane moduły bezpieczeństwa, które spełniają rolę „wbudowanego klucza sprzętowego”:

  • TPM (Trusted Platform Module) w komputerach z Windows i częścią sprzętu z Linuxem,
  • Secure Enclave w urządzeniach Apple,
  • różne implementacje Secure Element lub chipy podobne do Google Titan na Androidach i Chromebookach.

Te moduły:

  • generują i przechowują klucze prywatne wewnątrz własnego, odizolowanego środowiska,
  • łączą uwierzytelnianie z biometrią lub PIN-em systemowym,
  • potrafią wystawiać interfejs FIDO2/WebAuthn – stając się autentykatorem passkeys.

Z perspektywy użytkownika sprowadza się to do komunikatu „Zaloguj się za pomocą Touch ID/Face ID/Windows Hello”. Pod maską działa natomiast to samo: klucze kryptograficzne i podpisy wyzwań. Dla firmy istotne jest, że logowanie może być wtedy mocno związane z konkretnym, zarządzanym urządzeniem – co bardzo pomaga w polityce „zero trust”.

Klucze w telefonie jako autentykator zewnętrzny (cross-device)

Coraz częściej telefon pełni rolę „pilota” do logowania na innych urządzeniach. Przykład: chcesz zalogować się do aplikacji webowej na laptopie, a na ekranie pojawia się kod QR, który skanujesz telefonem. Telefon:

  • weryfikuje Twoją biometrię (np. odcisk palca),
  • używa swojego passkeya do podpisania wyzwania,
  • przesyła podpisany wynik do serwera.

Taki model ma dwie zalety: nie trzeba wkładać fizycznego klucza do każdego urządzenia, a jednocześnie łatwiej jest „oderwać” tożsamość użytkownika od konkretnej przeglądarki. Z drugiej strony rośnie znaczenie bezpieczeństwa telefonu – przestaje być tylko „telefonem”, a staje się centralnym autentykatorem do wielu systemów.

Dedykowane rozwiązania dla środowisk korporacyjnych

Na rynku są też rozwiązania, które łączą sprzęt i oprogramowanie pod kątem dużych organizacji. Typowe elementy takiego ekosystemu to:

  • panel do zarządzania kluczami (wydawanie, blokowanie, rotacja, przypisywanie do ról),
  • integracja z katalogiem użytkowników (AD, Azure AD, LDAP),
  • obsługa scenariuszy delegowania (np. dostęp serwisowy, konta wspólne z kontrolą i audytem),
  • centralne polityki – wymóg FIDO2 dla konkretnych grup, wymuszanie PIN-u/biometrii, zakaz logowania hasłami.

Kluczem do sensownego wdrożenia jest spójność: nie chodzi o to, by każdy dział kupił „swój” typ klucza, tylko o projekt architektury, w którym wiadomo, gdzie są konta o wysokim ryzyku, jakie autentykatory są dopuszczone i jak wygląda proces ich wydawania i odbierania.

Gdzie logowanie bez haseł ma największy sens w środowisku firmowym

Konta uprzywilejowane: administratorzy, devops, dostęp do chmury

Największy zysk z FIDO2 i passkeys pojawia się tam, gdzie przejęcie konta oznacza poważny incydent bezpieczeństwa. Typowe obszary:

  • konta administratorów domeny (AD, Azure AD),
  • dostęp do konsol zarządzania chmurą (AWS, Azure, GCP),
  • kontrolery CI/CD, systemy zarządzania konfiguracją (Ansible, Puppet, Terraform),
  • dostępy do routerów, firewalli, urządzeń sieciowych.

W tych miejscach klasyczne hasło + SMS lub aplikacja OTP jest zwyczajnie zbyt słabe. Klasyczny phishing „podstawiona strona logowania” świetnie radzi sobie z wyłudzaniem haseł i kodów jednorazowych. Klucze FIDO2, powiązane kryptograficznie z domeną, znacząco utrudniają ten wektor ataku.

Dostęp do danych wrażliwych: HR, finanse, medycyna, R&D

Drugi oczywisty kandydat to działy, które mają wgląd w dane osobowe, finansowe lub tajemnice przedsiębiorstwa. Nawet jeśli takie osoby nie mają uprawnień administracyjnych, to atakujący, który przejmie ich konto, może:

  • wykraść dużą ilość danych,
  • zainicjować fałszywe przelewy lub zmienić dane płatnicze,
  • uzyskać dostęp do dokumentacji R&D.

Tutaj sprawdza się model: laptop z wbudowanym autentykatorem + ewentualnie dodatkowy klucz sprzętowy dla dostępu spoza biura lub spoza zaufanej sieci. Pracownik korzysta z biometrii do codziennego logowania, a klucz bywa potrzebny tylko w scenariuszach podwyższonego ryzyka (np. zmiana danych konta bankowego firmy).

Dostęp zdalny i VPN: brama do całej organizacji

VPN, bramy zdalnego pulpitu, portale self-service – to kolejne „złote drzwi”, których przejęcie otwiera atakującemu pół organizacji. Tu logowanie bez haseł ma podwójny sens:

  • usuwa potrzebę pamiętania i wpisywania haseł na obcych lub słabo zarządzanych komputerach,
  • umożliwia phishing-resistant MFA nawet wtedy, gdy użytkownik łączy się z domu lub w podróży.

Dobry wzorzec to integracja bramy VPN z IdP (np. Azure AD, Okta) skonfigurowanym pod FIDO2 i passkeys. Użytkownik loguje się „tak samo jak do Microsoft 365”, a od strony technicznej klucz sprzętowy lub wbudowany moduł w laptopie chroni całą sesję VPN.

Stacje robocze i logowanie do systemu operacyjnego

Kolejny krok to passwordless na poziomie samego systemu – logowanie do Windows, macOS czy Linuxa bez wpisywania hasła. Typowe podejścia:

  • Windows Hello for Business – powiązanie konta w Azure AD/AD z kluczem przechowywanym w TPM i biometrią lub PIN-em,
  • logowanie do macOS i iOS za pomocą biometrii i Secure Enclave (w praktyce też passkeys),
  • rozwiązania oparte na PAM (Pluggable Authentication Modules) i FIDO2 dla Linuxa.

W tym scenariuszu użytkownik praktycznie nie widzi już klasycznego hasła domenowego. Znika też pokusa zapisywania go na karteczce czy w notatniku. Hasło może zostać zachowane tylko jako „break glass” – awaryjna metoda logowania używana raz na rok przez helpdesk.

Aplikacje biznesowe i SaaS: SSO z FIDO2 w tle

Duża część środowiska firmowego to dziś usługi SaaS: CRM, systemy księgowe, narzędzia do zarządzania projektami, helpdesk. Zamiast konfigurować logowanie osobno w każdej z tych aplikacji, rozsądniej jest:

  • skoncentrować się na mocnym, phishing-resistant MFA do głównego IdP (Azure AD, Okta, Keycloak itp.),
  • podpiąć aplikacje pod SSO (SAML/OIDC),

    • Systemy o znaczeniu krytycznym i środowiska produkcyjne

    W środowiskach przemysłowych i produkcyjnych panuje przekonanie, że „u nas się nie da, bo system jest stary, a operator nie będzie się bawił w klucze”. Tymczasem to właśnie tam jedno przejęte konto potrafi zatrzymać linię produkcyjną lub narobić szkód fizycznych. Stare HMI czy SCADA faktycznie mogą nie znać FIDO2, ale da się je „opakować” nowoczesną kontrolą dostępu:

  • brama aplikacyjna lub jump-host przed siecią OT,
  • dostęp do tej bramy wyłącznie z użyciem klucza FIDO2 lub passkeya,
  • logowanie do samych systemów przemysłowych przez SSO albo dedykowane konta techniczne, do których dostęp jest kontrolowany na poziomie bramy.

Operator nadal widzi swój znany ekran, ale aby w ogóle do niego dotrzeć, musi użyć autentykatora odporniego na phishing. To kompromis między realiami hal produkcyjnych a nowoczesnym podejściem do tożsamości.

Ciekawy efekt uboczny: logi z systemu IdP i bramy stają się dużo lepszym źródłem informacji o tym, kto i kiedy dotykał systemów krytycznych, niż dawne „wspólne konto operator” z hasłem zapisanym w szafce.

Środowiska deweloperskie, repozytoria kodu i tajemnice w CI/CD

Kolejna przestrzeń, w której passwordless robi różnicę, to dostęp do kodu źródłowego, rejestrów kontenerów i tajemnic w pipeline’ach CI/CD. Z perspektywy atakującego przejęcie konta dewelopera z dostępem do repozytorium bywa cenniejsze niż przejęcie zwykłego konta biurowego.

Dobrym wzorcem jest spięcie całego łańcucha narzędzi (GitHub/GitLab, Jenkins, Azure DevOps, Artifactory, Vault) z jednym IdP, który wymusza logowanie z użyciem FIDO2 lub passkeys dla ról technicznych. Deweloper loguje się tak samo do poczty, jak i do repozytorium, ale poziom ochrony jest wyższy niż przy zwykłym haśle + OTP.

Pojawia się też praktyczny aspekt ergonomii: przy częstym przełączaniu się między systemami mniej klikania oznacza mniej „skrótów” i kombinowania. Gdy autentykacja jest jednolita i szybka (biometria, jedno stuknięcie w klucz), znika pokusa zostawiania permanentnych sesji zalogowanych na wszystkich możliwych usługach.

Środowiska regulowane i audytowane: bankowość, zdrowie, sektor publiczny

W sektorach, gdzie prawo i regulatorzy wymagają silnego uwierzytelniania, FIDO2 i passkeys pozwalają spełnić wymogi bez zabijania użyteczności. Zamiast dokładać kolejne warstwy haseł, tokenów SMS i aplikacji OTP, lepiej przeskoczyć o poziom wyżej i wdrożyć coś z natury odpornego na phishing i przechwycenie sesji.

Częsty mit: regulacje „wymagają hasła”. W większości przypadków prawo mówi o „dwuskładnikowym” lub „silnym” uwierzytelnianiu, a nie o konkretnym mechanizmie. FIDO2 spełnia te wymogi z nawiązką, bo rozdziela czynnik „tym, co masz” (klucz/urządzenie) od „tym, kim jesteś” lub „co wiesz” (biometria/PIN), a do tego wiąże logowanie z konkretną domeną.

Dla audytorów taka zmiana to ułatwienie, nie utrudnienie: ryzyko wycieku haseł spada, logi logowania są jednoznaczne, a polityki dostępu można jasno zdefiniować i egzekwować na poziomie IdP.

Środowiska BYOD i praca hybrydowa

Rosnąca liczba organizacji dopuszcza dostęp z prywatnych urządzeń – czy to do poczty, czy do systemów wewnętrznych przez przeglądarkę. To klasyczny punkt tarcia między bezpieczeństwem a wygodą. Mit mówi: „aby było bezpiecznie, trzeba zakazać BYOD”. W praktyce częściej opłaca się założyć, że BYOD i tak będzie, i postawić sztywny wymóg: dostęp tylko z urządzenia z zarejestrowanym i zarządzanym autentykatorem FIDO2/passkey.

Scenariusz jest prosty: pracownik dodaje służbowy profil na swoim telefonie lub laptopie, przechodzi rejestrację klucza (sprzętowego lub wbudowanego) w IdP, a od tej pory każdy dostęp wymaga dotknięcia klucza lub weryfikacji biometrycznej. Serwer może dodatkowo egzekwować warunki zgodności urządzenia (stan antywirusa, szyfrowanie dysku, aktualny OS), ale kluczem pozostaje phishing-resistant MFA.

Takie podejście „odcina tlen” wielu typowym atakom: nawet jeśli użytkownik kliknie w złą stronę i wpisze tam swój login, atakujący nie uzyska działającego hasła ani kodu jednorazowego, bo ich po prostu nie ma w tym modelu.

Jak praktycznie zaplanować migrację do logowania bez haseł

Wyznaczenie zakresu pilotażu i pierwszych grup użytkowników

Największym błędem jest próba włączenia passwordless „dla wszystkich od jutra”. Rozsądniej jest zacząć od wąskiego, ale istotnego obszaru – przykładowo od administratorów domeny i zespołów devops, a dopiero potem rozszerzać zasięg.

Przy wyborze grupy pilotażowej opłaca się uwzględnić dwa kryteria:

  • wpływ na bezpieczeństwo – przejęcie konta ma realne skutki,
  • dojrzałość użytkowników – są gotowi na testowanie i zgłaszanie uwag.

Dobrze działa model, w którym najbardziej techniczne zespoły stają się pierwszymi „ambasadorami” rozwiązania. To oni później tłumaczą reszcie firmy, że klucz sprzętowy nie jest „gadżetem z konferencji”, tylko realnym narzędziem pracy.

Inwentaryzacja aplikacji i mapowanie na IdP/SSO

Zamiast zaczynać od zakupu kluczy, lepiej najpierw policzyć, dokąd użytkownicy faktycznie się logują i jak. W praktyce wychodzi z tego lista aplikacji:

  • już zintegrowanych z IdP (Azure AD, Okta, Keycloak, ADFS itd.),
  • obsługujących SAML/OIDC, ale jeszcze niepodpiętych,
  • działających „po staremu” – osobne konto, często bez SSO.

Kolejny krok to stopniowe „wciąganie” jak największej liczby usług pod centralne SSO. Dopiero wtedy zaczyna działać główna dźwignia: jeden mocno chroniony punkt logowania zamiast kilkudziesięciu słabszych.

Mit, który często blokuje ruch: „mamy za dużo aplikacji, to się nie da”. W praktyce nie trzeba objąć wszystkich na raz. Wystarczy skupić się na tych, które obsługują newralgiczne dane lub są kluczowe dla ciągłości działania. Drobne narzędzia pomocnicze mogą zostać na później – o ile nie mają dostępu do większych uprawnień.

Wybór typu autentykatorów i modelu ich wydawania

Po stronie autentykatorów zazwyczaj wychodzą cztery scenariusze:

  • klucze sprzętowe – przydają się do kont uprzywilejowanych, administracyjnych, dostępu zdalnego z różnych urządzeń,
  • wbudowane moduły (TPM, Secure Enclave) – idealne dla laptopów i smartfonów zarządzanych przez firmę,
  • telefony jako autentykatory cross-device – wygodne przy SSO do aplikacji webowych,
  • kombinacje powyższych – np. klucz + passkey w telefonie jako backup.

Polityka wydawania powinna być jasna: kto dostaje fizyczny klucz (i ile sztuk), kto korzysta z klucza wbudowanego, a w jakich przypadkach dopuszczalne są wyłącznie passkeys synchronizowane przez dostawcę (Apple, Google, Microsoft). Dobre praktyki to:

  • minimum dwa niezależne autentykatory na konto o wysokim ryzyku (np. dwa klucze sprzętowe lub klucz + wbudowany TPM),
  • wyraźne rozróżnienie między autentykatorami służbowymi a prywatnymi – kto za co odpowiada,
  • jasny proces wydania i zwrotu kluczy przy zatrudnianiu i offboardingu.

Jeśli organizacja korzysta z MDM/EDR, warto wpleść rejestrację autentykatora w proces przygotowania nowego urządzenia. Nowy laptop trafia do pracownika już z skonfigurowanym TPM i polityką FIDO2, zamiast wymagać dodatkowych kroków po stronie użytkownika.

Polityki awaryjne, utrata klucza i scenariusze „break glass”

Silna autentykacja bez dobrze zaprojektowanych scenariuszy awaryjnych szybko zamienia się w koszmar dla helpdesku. Klucz zagubiony, telefon w serwisie, TPM uszkodzony – takie rzeczy się zdarzają. Sztuka polega na tym, żeby odzyskanie dostępu było możliwe, ale wystarczająco niewygodne, by nie opłacało się „obchodzić systemu” dla wygody.

Sprawdzone podejścia:

  • alternatywny autentykator – drugi klucz lub passkey na innym urządzeniu, rejestrowany już na etapie wdrożenia,
  • procedura helpdeskowa – weryfikacja tożsamości przez IT (np. video, weryfikacja dokumentów, kontakt przez zdefiniowane kanały) i tymczasowy dostęp z ograniczonym zakresem,
  • „break glass” konto – bardzo silnie zabezpieczone, używane tylko do przywracania dostępu i zarządzane przez ściśle określone osoby.

Mit polega na tym, że awaryjne konto musi koniecznie mieć zwykłe hasło. Nic podobnego – „break glass” również może wymagać FIDO2, a nawet kilku kluczy podzielonych między osoby (np. model 4-oczu). Ważniejsze, by korzystanie z takiego konta było procesem formalnym i rejestrowanym.

Zmiana nawyków użytkowników i komunikacja

Technologia to połowa pracy. Druga połowa to wyjaśnienie ludziom, dlaczego zabiera się im hasła, do których są przyzwyczajeni. Jeśli tego zabraknie, pojawi się klasyczne „to dla naszego bezpieczeństwa” i równie klasyczne przewracanie oczami.

Kilka elementów, które realnie pomagają:

  • krótkie, konkretne materiały – filmik lub slajdy z pokazem logowania „przed” i „po”,
  • jasne pokazanie, co zyskuje użytkownik (mniej haseł, mniej resetów, wygodniejsze logowanie z telefonu),
  • pokazanie, co zyskuje firma (trudniejszy phishing, mniej incydentów).

Zamiast straszyć atakami, lepiej pokazać prosty przykład: fałszywa strona logowania do poczty, która bez problemu wyłudza hasło i kod SMS, ale „odbija się” od klucza sprzętowego, bo nie zgadza się domena. Tego typu demonstracje są dużo bardziej przekonujące niż ogólne slogany o cyberbezpieczeństwie.

Stopniowe ograniczanie haseł i metod legacy

Największą pułapką jest pozostawienie haseł „na wszelki wypadek”, bez żadnych ograniczeń. Wtedy większość użytkowników i tak wróci do starego sposobu, a efektem będzie utrzymywanie dwóch równoległych światów. Przejście na passwordless wymaga decyzji, że pewne metody odchodzą w niepamięć.

W praktyce sprawdza się podejście etapowe:

  1. włączenie FIDO2/passkeys jako zalecanej metody logowania,
  2. oznaczenie haseł i kodów OTP jako „metod legacy” – nadal dostępnych, ale z ostrzeżeniami,
  3. stopniowe wyłączanie logowania hasłem dla najważniejszych grup (administratorzy, dostęp do chmury, VPN),
  4. w końcu globalne wyłączenie haseł, pozostawiając je tylko jako element procedury awaryjnej w kontrolowanych scenariuszach.

Dopiero gdy metoda słabsza naprawdę znika z codziennego użycia, maleje motywacja atakujących, by inwestować w phishing czy kradzież baz haseł z danej organizacji. Półśrodki skutkują półefektami.

Monitorowanie, logowanie i reagowanie na incydenty w świecie passwordless

Przejście na FIDO2 i passkeys nie usuwa potrzeby monitorowania logowań – zmienia tylko ich profil. Znika prosta kradzież hasła, ale nadal możliwe są ataki na urządzenie użytkownika, próby rejestracji fałszywych autentykatorów czy nadużycie uprawnień po zalogowaniu.

Dlatego przy wdrażaniu passwordless warto od razu zgrać to z systemami SIEM/SOAR. Kluczowe sygnały do monitorowania to m.in.:

  • nietypowe lokalizacje i urządzenia, z których rejestrowane są nowe autentykatory,
  • nagłe zmiany konfiguracji MFA dla kont uprzywilejowanych,
  • próby logowania z wyłączonym FIDO2/wymuszeniem słabszych metod.

W razie incydentu reakcja bywa prostsza: zablokowanie autentykatora lub całego konta jest skuteczniejsze niż „zmiana hasła”, bo nie istnieje klucz, który użytkownik mógłby przypadkiem przekazać dalej. Trzeba jednak zadbać, by proces blokowania i odblokowywania był szybki, dobrze udokumentowany i odporny na nadużycia ze strony kogoś w roli pomocy technicznej.

Kolejna porcja wiedzy: