12 lipca 2026

Zmęczenie MFA: jak atakujący omijają drugi składnik, za który już zapłaciłeś

Push-bombing, SIM-swap i atak pośrednika co tydzień pokonują SMS i jednoklikowe MFA. Dlaczego tak się dzieje i co znaczy odporność na phishing.

Większość organizacji, które padły ofiarą naruszenia w ubiegłym roku, miała włączone uwierzytelnianie wieloskładnikowe. To właśnie jest niewygodna prawda. Atakujący nie złamali drugiego składnika: obeszli go, korzystając z technik, które działają dokładnie dlatego, że wdrożone MFA każe zmęczonemu człowiekowi podjąć decyzję dotyczącą bezpieczeństwa w najgorszym możliwym momencie.

Jeśli Państwa MFA opiera się na kodzie SMS lub jednoklikowym monicie „Potwierdzić?“, warto poświęcić na tę lekturę dziesięć minut. Te dwie metody są dziś tymi, które atakujący obchodzą w swoich planach, a nie tymi, które ich zatrzymują.

Trzy ataki, które pokonują „jakieś MFA“

  • Push-bombing (zmęczenie MFA). Atakujący ma już hasło: z wykradzionej bazy, z phishingu albo z ponownego użycia. Uruchamia logowanie za logowaniem, wysyłając na telefon użytkownika strumień monitów o potwierdzenie, aż w końcu ktoś, z dezorientacji albo po prostu żeby to ustało, dotknie Potwierdź. Jedno dotknięcie i są w środku. Tak zaczęło się kilka głośnych naruszeń.
  • SIM-swap. SMS nigdy nie był projektowany jako kanał bezpieczeństwa. Atakujący, który przekona (lub przekupi) operatora, by przeniósł numer na nową kartę SIM, otrzymuje każdy jednorazowy kod wysłany na ten numer. Bez złośliwego oprogramowania, bez fałszywej strony: wystarczy telefon do biura obsługi.
  • Atak z udziałem pośrednika (AiTM). Przekonująca podróbka strony logowania w czasie rzeczywistym pośredniczy w komunikacji z prawdziwą. Ofiara wpisuje swoje hasło oraz kod; atakujący natychmiast przekazuje jedno i drugie dalej i wykrada powstały token sesji. Kod był prawidłowy. MFA „zadziałało“. Konto i tak jest stracone.

Wspólny mianownik: każda z tych metod opiera się na sekrecie lub potwierdzeniu, które można przekazać dalej: skopiować od uprawnionego użytkownika i odtworzyć w imieniu atakującego. Zablokuj przekazanie, a wszystkie trzy ataki upadają wraz z nim.

Co naprawdę je zatrzymuje: uwierzytelnianie odporne na phishing, powiązane ze sprzętem

„Odporność na phishing“ to nie język marketingu, lecz nazwa konkretnej właściwości. Muszą być spełnione jednocześnie dwa warunki: klucz nigdy nie może opuścić urządzenia użytkownika, więc nie ma czego przechwycić i ponownie użyć; oraz użytkownik może przeczytać dokładnie to, co zatwierdza, więc nic nie zostaje zatwierdzone na ślepo.

  • Klucz żyje w bezpiecznym sprzęcie telefonu. Jest tam generowany i nie da się go wyeksportować, skopiować ani przenieść techniką SIM-swap. Nie istnieje współdzielony sekret spoczywający w bazie danych ani przychodzący przez SMS. To właśnie zamyka drogę przechwyceniu, SIM-swapowi i przekazaniu w ataku AiTM.
  • Można przeczytać dokładnie to, co się zatwierdza. To jest ta część, która zatrzymuje push-bombing, i warto być tu precyzyjnym: gdy żądanie dotrze już do telefonu, żaden klucz ani biometria nie pomogą, bo atak po prostu prosi użytkownika, aby powiedział „tak“. Biometria potwierdza jedynie, że dotyka ekranu właściciel telefonu, a nie że logowanie jest prawdziwe. Push-bombing pokonuje to, że każde żądanie niesie ze sobą konkretny, czytelny opis dokładnie tego, co jest zatwierdzane: to logowanie, ten serwer, stąd, teraz. Monit, którego użytkownik nigdy nie zainicjował, jest widocznie nie jego, więc go odrzuca. Zabezpieczeniem jest opis na tyle precyzyjny, by przeczytać go jednym spojrzeniem, a nie zmęczony człowiek opierający się pustemu „Potwierdzić?“.
  • Sesji nie da się odtworzyć. Ponieważ podpis jest kryptograficzny i powiązany z żądaniem, pośrednik w ataku AiTM nie ma czego ukraść.

To właśnie różnica między MFA, które podnosi poprzeczkę, a MFA, które atakujący ma już rozpisane w swoim scenariuszu.

Gdzie w to wpisuje się Notakey

Notakey powstało wokół dokładnie tej właściwości. Klucz użytkownika jest generowany w bezpiecznym sprzęcie jego telefonu i nigdy go nie opuszcza, a każde potwierdzenie to podpisany, opatrzony znacznikiem czasu zapis konkretnego działania, a nie anonimowe dotknięcie.

  • Brak współdzielonego sekretu do wyłudzenia, brak SMS-a do przechwycenia, brak kodu do przekazania.
  • Przeciwko push-bombingowi obroną jest to, co czyta użytkownik: każde żądanie pokazuje precyzyjny opis dokładnie tego, co jest zatwierdzane: który system, jakie działanie, skąd, dzięki czemu monit, którego nikt nie zainicjował, rzuca się w oczy i zostaje odrzucony. Nie ma niczego, co można by zatwierdzić na ślepo.
  • Obejmuje ścieżki, z których atakujący naprawdę korzystają. Zobacz praktyczne przewodniki: 2FA w VPN przez RADIUS, pulpit zdalny Windows oraz SSH w systemie Linux.

Przekonaj się sam

Najszybszym sposobem, by poczuć różnicę, jest zatwierdzenie transakcji w sposób odporny na phishing, czytając i podpisując konkretne działanie z własnego telefonu, zamiast dotykać monitu pozbawionego kontekstu.

Wypróbuj demo na żywo, aby podpisać transakcję w około dwie minuty, lub poproś o prezentację, a odwzorujemy Państwa logowania do VPN, SSO lub Windows w pilotaż na Państwa własnej infrastrukturze.

← Wszystkie artykuły

Pierwsze logowanie bez hasła jeszcze w tym tygodniu

30 minut rozmowy z inżynierem, a nie prezentacja handlowa. Wspólnie zaplanujemy, jak uruchomić działający projekt pilotażowy w Państwa środowisku VPN, SSO lub Windows.