Przez lata powtarzano nam, że silne hasło i weryfikacja dwuetapowa to podstawa bezpieczeństwa w sieci. I choć klasyczne MFA (Multi-Factor Authentication) faktycznie znacząco podniosło poprzeczkę cyberprzestępcom, to dziś coraz częściej mówi się o stosunkowo nowym standardzie – uwierzytelnianiu bezhasłowym (passwordless).
Jednocześnie w wiele osób nadal uznaje mit, że passwordless jest „mniej bezpieczne” niż MFA, bo… przecież brakuje w nim jednego z czynników – hasła.
Zajmijmy się dzisiaj tym tematem.
Skąd wziął się mit o „mniejszym bezpieczeństwie” passwordless?
Źródła tego przekonania są zrozumiałe. Przez dekady użytkownicy byli uczeni, że hasło to bezpieczeństwo.
Organizacje inwestowały w polityki haseł, wymuszały skomplikowane kombinacje znaków, cykliczne zmiany i stosowanie menedżerów haseł.
W efekcie powstało myślenie: „jeśli coś nie wymaga hasła, to pewnie jest mniej bezpieczne”.
Nie jest to dobre podejście. Dzisiejsze systemy passwordless nie eliminują bezpieczeństwa a eliminują najsłabsze jego elementy czyli człowieka i jego hasło.
Czym właściwie jest passwordless?
Passwordless to metoda uwierzytelniania, która nie wymaga zapamiętywania ani wpisywania hasła.
Zamiast tego wykorzystuje coś, co użytkownik ma (np. klucz sprzętowy FIDO , smartfon), lub coś, czym użytkownik jest (np. biometrię – odcisk palca, rozpoznawanie twarzy).
Najczęstsze technologie stosowane w podejściu passwordless to:
- FIDO2 / WebAuthn – standard otwarty wspierany przez większość przeglądarek i systemów operacyjnych,
- Windows Hello, Apple Passkeys, Google Passkeys,
- Klucze bezpieczeństwa (np. Yubikey),
MFA ≠ lepsze bezpieczeństwo jeśli nadal używa haseł
W klasycznym MFA użytkownik nadal musi podać hasło jako pierwszy składnik, a następnie potwierdzić swoją tożsamość np. kodem SMS, push-em z aplikacji czy kluczem sprzętowym.
To oczywiście lepsze niż samo hasło, ale…
Klasyczne MFA wciąż dziedziczy problemy haseł:
- Phishing – użytkownicy mogą zostać zmanipulowani, by podać swoje dane logowania na fałszywej stronie,
- Credential stuffing – jeśli dane wyciekną z innego serwisu, atakujący mogą je ponownie użyć,
- Keylogger – złośliwe oprogramowanie może przechwycić wpisane hasło,
- Złożoność i zmęczenie – ludzie często używają te same hasła do różnych serwisów, zapisują je w notatkach, a przy MFA nie zawsze rozumieją, jak działają kolejne kroki.
Passwordless eliminuje wszystkie te problemy u źródła.
Dlaczego passwordless jest bezpieczniejsze niż tradycyjne MFA
1. Brak haseł = nie ma czego kraść
W systemie passwordless nie ma żadnego centralnego repozytorium haseł, które mogłoby zostać skradzione lub zhashowane.
To całkowicie likwiduje ryzyko credential theft i brute-force attacks.
2. Uwierzytelnianie oparte na kryptografii asymetrycznej
Passwordless opiera się na kluczach publicznych i prywatnych.
Klucz prywatny nigdy nie opuszcza urządzenia użytkownika – nie można go więc przechwycić ani wyłudzić.
Serwer zna tylko klucz publiczny, który sam w sobie jest bezużyteczny bez prywatnego odpowiednika.
3. Ochrona przed phishingiem i man-in-the-middle
Standard FIDO2/WebAuthn wiąże klucz z konkretną domeną, co oznacza, że uwierzytelnienie zadziała tylko na właściwej stronie.
Nawet jeśli użytkownik kliknie w fałszywy link, klucz po prostu odmówi podpisania żądania.
4. Wygoda zwiększa bezpieczeństwo
Użytkownicy są największą słabością klasycznych systemów.
Passwordless jest łatwiejszy, bo jedno dotknięcie czy spojrzenie wystarczy.
Brak frustracji z hasłami to mniejsza skłonność do obchodzenia zabezpieczeń (np. wyłączania MFA czy zapisywania danych na karteczkach).
5. Odporny na ataki typu push bombing
W klasycznym MFA atakujący może spamować użytkownika powiadomieniami push, licząc na przypadkową akceptację.
Passwordless eliminuje ten scenariusz, bo uwierzytelnienie następuje lokalnie na urządzeniu, a nie poprzez akceptację zdalnego żądania.
A co z bezpieczeństwem urządzeń?
To częsty kontrargument: „A co jeśli ktoś ukradnie klucz sprzętowy albo smartfon?”
Tu właśnie wchodzi biometria i PIN lokalny. Urządzenie nigdy nie udostępnia klucza bez autoryzacji użytkownika.
Nawet kradzież sprzętu nie wystarczy do zalogowania się, tak jak nie wystarczy kradzież karty płatniczej bez znajomości PIN-u.
Passwordless to nie konkurencja dla MFA – to jego ewolucja
W rzeczywistości passwordless nie zastępuje idei MFA, tylko ją realizuje w czystszej formie.
Zamiast „hasło + kod SMS”, otrzymujemy np.:
- „biometria + klucz prywatny”,
- „PIN urządzenia + klucz sprzętowy”.
To wciąż dwa czynniki (coś, co masz + coś, czym jesteś), ale bez słabego ogniwa w postaci hasła.
Dlatego mówi się, że passwordless to nowoczesne MFA, zgodne z filozofią zero trust.
Przyszłość jest bezhasłowa
Giganci technologiczni – Microsoft, Apple, Google – już od lat inwestują w ekosystem passkeys i FIDO2.
Coraz więcej organizacji wprowadza logowanie bez hasła jako domyślną metodę.
Z czasem stanie się ono powszechnie używanym standardem bezpieczeństwa, podobnie jak MFA kilka lat temu.
Podsumowanie
Mit, że passwordless jest mniej bezpieczne niż MFA, wynika z nieporozumienia i przywiązania do starego paradygmatu haseł.
W praktyce to właśnie passwordless:
- usuwa największe ryzyko (hasła),
- eliminuje phishing,
- upraszcza życie użytkowników,
- realizuje zasadę wieloskładnikowości w sposób bardziej odporny kryptograficznie.
Hasła odejdą w zapomnienie – i bardzo dobrze!
📩 Chcesz otrzymywać powiadomienie o nowym wpisie? Zapisz się do naszego newslettera!
