BlogCyberbezpieczeństwo i ComplianceDevOps i Administracja ITInfrastruktura i HostingStrategia i Trendy ITTechnology

Zarządzanie tożsamością i dostępem – od MFA po passwordless

17 gru, 2025
Zarządzanie tożsamością i dostępem – od MFA po passwordless

Skuteczne IAM zaczyna się od MFA, ale kończy na phishing-odpornych metodach i passwordless, gdzie kradzież hasła przestaje mieć znaczenie. W praktyce wdrażasz silne uwierzytelnianie, porządkujesz uprawnienia i zabezpieczasz proces odzyskiwania kont. To najszybsza redukcja ryzyka.

Czym jest IAM i dlaczego większość incydentów zaczyna się od tożsamości?

IAM (Identity and Access Management) to zestaw procesów i technologii, które odpowiadają na 3 pytania:

  • Kto próbuje uzyskać dostęp?
  • Do czego ma dostęp i na jakich zasadach?
  • Skąd i w jakich warunkach ten dostęp jest przyznawany?

W praktyce większość skutecznych ataków idzie „przez człowieka” i jego konto: phishing, przejęcie sesji, wycieki haseł, błędy w konfiguracji uprawnień. Verizon DBIR 2024 wskazuje, że czynnik ludzki pojawia się w dużej części naruszeń.

Co w IAM jest ważniejsze: uwierzytelnianie czy autoryzacja?

W produkcji oba są krytyczne, ale firmy najczęściej mylą priorytety.

  • Uwierzytelnianie (authentication): potwierdzasz tożsamość (hasło, MFA, passkey).
  • Autoryzacja (authorization): określasz uprawnienia (RBAC, ABAC, polityki).

Moje doświadczenie z audytów jest brutalnie proste: możesz mieć najlepsze MFA, ale jeśli konto ma za wysokie uprawnienia albo dostęp nie jest segmentowany, szkody po przejęciu są nadal ogromne.

Jakie typy MFA działają, a jakie są dziś ryzykowne?

MFA to „dodatkowy czynnik” obok hasła, ale nie każda MFA daje ten sam poziom bezpieczeństwa.

Najczęstsze metody i realne ryzyka:

  • SMS / e-mail kody: podatne na SIM-swap, przechwycenie, socjotechnikę. Dobre jako etap przejściowy, słabe jako docelowy standard.
  • TOTP (aplikacja generująca kody): lepsze niż SMS, ale wciąż możliwe do wyłudzenia phishingiem.
  • Push MFA (zatwierdź na telefonie): wygodne, ale podatne na „push fatigue” i prompt bombing.
  • Phishing-odporne MFA: FIDO2/WebAuthn, klucze sprzętowe, passkeys. To obecnie złoty standard dla kont uprzywilejowanych i dostępu do krytycznych systemów.

Czym jest phishing-odporne MFA i dlaczego ma znaczenie w 2025?

Phishing-odporne MFA to takie, którego nie da się skutecznie „przenieść” na fałszywą stronę logowania, bo uwierzytelnienie jest kryptograficznie powiązane z prawdziwą domeną usługi.

CISA wprost wskazuje WebAuthn i powiązany standard FIDO2 jako rozwiązania phishing-odporne.

W praktyce to jest różnica między:

  • „użytkownik dał się nabrać, ale nic się nie stało”,
    a
  • „użytkownik dał się nabrać i mamy incydent”.

Co oznacza passwordless i czy to to samo co passkeys?

Passwordless oznacza logowanie bez wpisywania hasła. Najczęściej spotkasz dwa modele:

  1. Passkeys
    Passkey to kryptograficzne poświadczenie FIDO, powiązane z kontem i urządzeniem użytkownika. Użytkownik loguje się tak, jak odblokowuje telefon lub laptop (biometria, PIN).
  2. Inne metody passwordless
    Na przykład Windows Hello lub certyfikaty w środowiskach korporacyjnych. Kluczowe jest, by metoda była odporna na phishing i miała sensowny recovery.

Jakie korzyści biznesowe daje passwordless w IAM?

Passwordless nie jest tylko „ładnym UX”. W praktyce daje trzy rzeczy:

  • mniej resetów haseł (realne koszty helpdesku spadają),
  • mniej skutecznych phishingów (bo nie ma hasła do wyłudzenia),
  • wyższy współczynnik poprawnych logowań (mniej tarcia dla użytkownika).

Microsoft raportował bardzo wysoką skuteczność logowań passkey w porównaniu do haseł, a jednocześnie mocno pcha model „passwordless by default” dla nowych kont.

Jak wprowadzić MFA krok po kroku, żeby nie zabić produktywności?

Najbezpieczniejszy rollout, który sprawdza mi się w firmach od 50 do 5000 osób:

  1. Inwentaryzacja aplikacji i metod logowania
    Zidentyfikuj legacy auth (IMAP/SMTP bez nowoczesnego auth, stare VPN, aplikacje bez SSO). To zwykle główna mina.
  2. SSO jako standard, nie wyjątek
    Jeśli możesz, centralizuj logowanie w IdP. Rozproszone konta to rozproszony chaos.
  3. Pilot na grupach ryzyka
    Najpierw IT, finanse, admini, zarząd. Dopiero potem reszta.
  4. Stopniowe podnoszenie wymagań
    Zacznij od MFA dla dostępu z zewnątrz i ryzykownych logowań, potem przejdź do full enforcement.
  5. Wytnij metody słabe
    SMS i e-mail jako fallback tylko tam, gdzie naprawdę muszą istnieć i tylko tymczasowo.
  6. Zrób odporne recovery
    Najczęstsza droga obejścia MFA to odzyskanie konta. Recovery musi być twardsze niż samo logowanie.

Jak przejść z MFA do passkeys bez chaosu?

Dobre wdrożenie passkeys to projekt tożsamości, nie „włącznik w panelu”.

Praktyczny plan:

  1. Ustal, gdzie passkeys mają sens od razu
    Konta uprzywilejowane, dostęp do paneli administracyjnych, SOC, finanse.
  2. Wybierz model passkeys
  • device-bound (ściśle do urządzenia),
  • synchronized (synchronizowane między urządzeniami w ekosystemie).
  1. Zadbaj o onboarding
    Użytkownik ma wiedzieć: co robić, gdy zmieni telefon, jak działa zapasowy dostęp, jak nie wpaść w pułapkę „zablokowałem się sam”.
  2. Wprowadź step-up authentication
    Nie wszystko musi wymagać passkey od razu. Wrażliwe operacje mogą wymagać mocniejszego kroku.
  3. Mierz metryki i poprawiaj proces
    Adopcja, liczba zgłoszeń, czas logowania, liczba prób phishingu zakończonych sukcesem.

Jak zabezpieczyć konta uprzywilejowane (PAM) w modelu od MFA do passwordless?

Jeśli masz tylko jedną rzecz zrobić dobrze, zrób to dla adminów.

Standard, który realnie podnosi bezpieczeństwo:

  • osobne konta admin i user,
  • phishing-odporne MFA dla adminów (FIDO2/WebAuthn),
  • JIT/JEA (dostęp na czas i do konkretnej czynności),
  • sesje admina logowane i audytowalne,
  • ograniczenie dostępu sieciowego do paneli zarządzania.

To obszar, gdzie passwordless ma największy sens, bo ryzyko jest największe.

Jakie są najczęstsze błędy we wdrożeniach IAM?

Z praktyki wdrożeniowej i incident response:

  • MFA włączone, ale nie wymuszone (użytkownicy „kiedyś ustawiają”),
  • brak blokady legacy auth,
  • push MFA bez polityk (brak ochrony przed bombardowaniem),
  • słabe odzyskiwanie konta (helpdesk da się przekonać),
  • brak widoczności (logi rozproszone, brak korelacji zdarzeń),
  • brak zasad najmniejszych uprawnień (przejęte konto robi za dużo).

Jak mierzyć, czy IAM naprawdę działa?

Jeśli nie mierzysz, to tylko wierzysz.

Najbardziej praktyczne KPI:

  • odsetek kont z MFA i z phishing-odpornym MFA,
  • liczba zablokowanych prób logowania wysokiego ryzyka,
  • liczba resetów haseł na 100 użytkowników,
  • liczba incydentów wynikających z przejęcia konta,
  • czas nadawania i odbierania uprawnień (joiner, mover, leaver),
  • liczba kont uprzywilejowanych i czas ich aktywności.

Źródła

  • NIST SP 800-63B (Digital Identity Guidelines, wymagania uwierzytelniania): (NIST Pubs)
  • CISA, Implementing Phishing-Resistant MFA (WebAuthn/FIDO2 jako phishing-odporne): (CISA)
  • CISA, Hybrid Identity Solutions Guidance (ocena WebAuthn/FIDO2 jako phishing-resistant): (CISA)
  • FIDO Alliance, Passkeys (definicja i mechanizm passkeys): (FIDO Alliance)
  • Microsoft Security Blog, passkeys i wdrożenia (kontekst adopcji i kierunek passwordless): (Microsoft)
  • The Verge, Microsoft passwordless by default i statystyki skuteczności logowań: (The Verge)

Przeczytaj również:

  1. Sztuczna inteligencja AI w SOC – jak machine learning wspiera wykrywanie zagrożeń
  2. IaC i GitOps – automatyzacja infrastruktury krok po kroku
  3. Plik xmlrpc.php w WordPress – czym jest i jak go zablokować
  4. MLOps w praktyce – bezpieczne wdrożenia modeli AI
  5. Tani VPS – praktyczny poradnik (bez lania wody)
  6. Multi‑cloud i hybrydowa chmura – jak zbudować odporną infrastrukturę