16 września 2025

Jak ocenić rozwiązanie do uwierzytelniania wieloskładnikowego

Co naprawdę porównać przy wyborze MFA: zaufanie, kontrolę, regulacje, całkowity koszt oraz komfort użytkowania, który decyduje o wdrożeniu.

Wybór rozwiązania do uwierzytelniania wieloskładnikowego to decyzja na najbliższą dekadę, ukryta pod pozorem zwykłej pozycji w formularzu zakupowym. Ten przewodnik zbiera pytania, które oddzielają rozwiązania dyskretnie chroniące organizację od tych, które równie dyskretnie zamieniają się w kolejny projekt migracyjny.

Zaufanie

Zaufaj modelowi bezpieczeństwa. Rozwiązania oparte na kryptografii klucza publicznego dają mocniejsze gwarancje niż schematy ze współdzielonym sekretem: nie istnieje centralny sejf z sekretami, do którego można się włamać, ani nic, co znałyby obie strony. Zachowaj ostrożność wobec zamkniętej, autorskiej kryptografii. Wybieraj otwarte, poddane audytowi podstawy.

Poznaj fundament technologiczny. Gdzie generowane są klucze? Gdzie są przechowywane? Klucza utworzonego i przechowywanego w sprzętowym module bezpieczeństwa telefonu nie da się wyeksportować ani sklonować; materiał inicjujący (seed) przekazywany kodem QR podczas rejestracji jest bezpieczny tylko na tyle, na ile bezpieczny jest sam sposób jego przekazania.

Zastanów się, kto sprawuje kontrolę

On-premise czy SaaS. Gdzie działa rozwiązanie i co stanie się z Twoim uwierzytelnianiem, gdy dostawca zaliczy awarię albo naruszenie bezpieczeństwa? Jeśli regulator zapyta, gdzie przechowywane są dane uwierzytelniające, czy masz odpowiedź, nad którą sam panujesz?

Możliwa do skontrolowania komunikacja. Czy widzisz i możesz zweryfikować, co rozwiązanie przesyła przez sieć? Liczy się tu weryfikacja transakcji: użytkownik powinien widzieć, co właściwie zatwierdza, a samo zatwierdzenie powinno być kryptograficznie powiązane dokładnie z tą treścią.

Nie zapominaj o regulacjach

Gdzie będą przechowywane dane i czy w ogóle musisz przekazywać dostawcy dane osobowe? Dla organizacji z UE konkretnej odpowiedzi na to pytanie wymaga RODO. W branży fintech to wymogi PSD2 dotyczące silnego uwierzytelniania klienta i dynamicznego łączenia (dynamic linking) przesądzają, które rozwiązania w ogóle wchodzą w grę. Zastosowanie mogą mieć również wymogi dotyczące odporności i dostępności: czy rozwiązanie może działać nadmiarowo (redundantnie) i pod Twoją kontrolą?

Całkowity koszt posiadania

Opłaty licencyjne to część widoczna gołym okiem. Policz również:

  • Zależności produktowe: czy rozwiązanie wymaga innych produktów, usług katalogowych lub sprzętu, którego jeszcze nie masz?
  • Opłaty za utrzymanie oraz aktualizacje wersji.
  • Koszty osobowe: bieżąca administracja, wsparcie użytkowników i szkolenia.
  • Czas do uruchomienia: każdy tydzień konfiguracji to wypłacone wynagrodzenia, zanim jeszcze pojawi się jakakolwiek ochrona.
  • Koszty utraconych możliwości: czy rozwiązanie nadal się sprawdzi, gdy dojdzie podpisywanie dokumentów, nowe aplikacje albo rzesza nowych użytkowników po fuzji?

Uważaj na SMS-y

Kody SMS można przechwycić, przejąć metodą SIM swap i wyłudzić przez phishing, a przy tym nie zostawiają one żadnego śladu tego, co użytkownik faktycznie widział w chwili zatwierdzania. Regulatorzy już to zauważyli. Jeśli SMS jest dziś Twoim drugim składnikiem, traktuj go jako etap przejściowy, a nie stan docelowy.

O wszystkim decyduje komfort użytkowania

Zabezpieczenie, które irytuje użytkowników, zostaje obchodzone, a obchodzone zabezpieczenie jest gorsze niż jego brak, bo w raporcie zgodności i tak świeci się na zielono. Porównaj doświadczenie sprzętowe (co użytkownik musi nosić przy sobie?), programowe (ile dotknięć ekranu? ile możliwych scenariuszy błędu?) oraz to po stronie administratora (ile naprawdę trwa zarejestrowanie jednego użytkownika?). Częścią tego doświadczenia jest też prywatność: rozwiązanie, które gromadzi nadmiar danych o użytkownikach, samo staje się źródłem ryzyka.

Co dalej?

Jakiekolwiek zabezpieczenie jest lepsze niż żadne, ale koszty migracji są realne, więc wybierz coś, z czego szybko nie wyrośniesz. Oceń rozwiązanie we własnym środowisku, uruchamiając pilotaż: prawdziwe VPN, prawdziwą aplikację, garstkę prawdziwych użytkowników. To powie Ci w tydzień więcej niż matryca funkcji przez cały kwartał.

← Wszystkie artykuły

Pierwsze logowanie bez hasła jeszcze w tym tygodniu

30 minut rozmowy z inżynierem, a nie prezentacja handlowa. Wspólnie zaplanujemy, jak uruchomić działający projekt pilotażowy w Państwa środowisku VPN, SSO lub Windows.