Hasła – fundament internetowego bezpieczeństwa ostatnich dekad – stają się największym zagrożeniem dla organizacji. Najnowszy raport Sophos 2025 Active Adversary dostarcza mocnych dowodów: aż w 41% analizowanych incydentów bezpieczeństwa atakujący uzyskali dostęp do systemów właśnie poprzez skompromitowane dane logowania.
Problem nie ogranicza się do słabych haseł. Nawet mechanizmy dwu- i wieloskładnikowego uwierzytelniania, przez lata uznawane za złoty standard ochrony, tracą na skuteczności. Narzędzia takie jak evilginx2 umożliwiają cyberprzestępcom automatyzację phishingu i kradzież sesyjnych plików cookie, co pozwala ominąć nawet te dodatkowe warstwy zabezpieczeń.
Szybkość działania cyberprzestępców robi wrażenie. Z danych Sophos wynika, że od momentu włamania do kradzieży danych często mijają zaledwie trzy dni. To stawia przed firmami trudne pytanie: czy obecne systemy uwierzytelniania są jeszcze wystarczające?
WebAuthn – realna alternatywa czy marketingowy slogan?
Sophos wskazuje jednoznacznie na kierunek zmian – technologie kluczy kryptograficznych, takie jak WebAuthn. W przeciwieństwie do tradycyjnych haseł czy kodów SMS, WebAuthn opiera się na fizycznym urządzeniu użytkownika i lokalnie przechowywanym kluczu prywatnym. Autoryzacja odbywa się przez fizyczne potwierdzenie tożsamości, np. odcisk palca czy rozpoznawanie twarzy.
Ten model drastycznie zmniejsza ryzyko phishingu, bo nawet jeśli użytkownik zostanie oszukany, nie da się łatwo „wykraść” czegoś, co nie jest przesyłane przez Internet. WebAuthn eliminuje również presję odpowiedzialności, którą dziś ponosi indywidualny użytkownik, zmieniając rozkład ryzyka na systemy.
Jednak nawet WebAuthn nie jest panaceum. Kradzież plików cookie sesji, słabe zarządzanie kluczami czy błędy w implementacji mogą wciąż otworzyć drogę atakującym. Dlatego wdrażanie takich technologii musi być częścią szerszej strategii bezpieczeństwa, a nie jednorazowym projektem.
Co to oznacza dla firm?
Coraz szybsze tempo ataków i postępująca automatyzacja cyberprzestępczości wymuszają zmianę paradygmatu bezpieczeństwa. Utrzymywanie rozwiązań opartych na wiedzy użytkownika – takich jak hasła czy kody jednorazowe – staje się ryzykownym anachronizmem.
Dla firm to sygnał, że inwestycje w nowoczesne systemy uwierzytelniania powinny stać się strategicznym priorytetem, a nie tylko technologiczną ciekawostką. W praktyce oznacza to konieczność budowania świadomości użytkowników, wdrażania mechanizmów opartych na sprzętowych kluczach oraz rozwijania kompetencji zespołów bezpieczeństwa w zakresie zarządzania tożsamością.
