Cyber higiena
Co to jest MFA i dlaczego mała firma powinna włączyć je dziś?
MFA (multi-factor authentication) to drugi składnik logowania — kod, powiadomienie albo klucz fizyczny — który jest wymagany obok hasła. Brzmi technicznie, ale w praktyce to jedna z dwóch rzeczy, które robią największą różnicę dla bezpieczeństwa małej firmy.
Jak to działa w praktyce
Logujesz się hasłem do poczty firmowej. Po hasłem system pyta o drugi składnik: 6-cyfrowy kod z aplikacji w telefonie albo powiadomienie typu „to Ty?”. Bez tego drugiego składnika nikt nie wejdzie, nawet jeśli wykradł hasło.
Dlaczego to działa
Atakujący zwykle nie ma fizycznego dostępu do Twojego telefonu. Nawet jeśli wykradnie hasło z bazy danych, kupi je w darknecie albo wyłudzi przez phishing — bez drugiego składnika konto pozostaje zamknięte.
Co konkretnie zyskasz po włączeniu MFA
- Atakujący musi mieć fizyczny dostęp do Twojego telefonu lub klucza, żeby się zalogować
- Nawet jeśli hasło wycieknie, konto pozostaje chronione
- Większość ataków na MŚP można powstrzymać samym MFA
- Włączenie zajmuje 5-10 minut, dla całej firmy - jedno popołudnie
Czego użyć jako drugiego składnika
Najlepsza opcja: aplikacja autentykatora w telefonie (Google Authenticator, Microsoft Authenticator, Authy, 1Password). Generuje 6-cyfrowe kody zmieniające się co 30 sekund. Działa nawet bez internetu na telefonie.
Druga dobra opcja: powiadomienia push w aplikacji firmowej (np. Microsoft Authenticator dla Microsoft 365). Wystarczy kliknąć „Tak, to ja” w telefonie.
Najlepsza opcja dla najwyższego poziomu: klucz sprzętowy (YubiKey, Titan). Małe urządzenie USB/NFC. Polecane dla właściciela firmy i kont z dostępem do bankowości lub administracji.
Co wybrać dla małej firmy?
Dla większości MŚP wystarczy aplikacja autentykatora na telefonie każdego pracownika. Bezpłatna, działa wszędzie, pokrywa 99% ryzyka. SMS jako drugi składnik jest dopuszczalny, ale słabszy — można go przejąć przez tzw. SIM swap.
Czego nie używać
SMS jako jedyny drugi składnik jest słaby — istnieją ataki typu SIM swap, w których atakujący przejmuje numer telefonu ofiary u operatora. Lepiej używać aplikacji albo klucza sprzętowego. SMS traktuj jako tymczasowe zabezpieczenie, lepsze niż samo hasło.
Lista kont firmowych do zabezpieczenia w pierwszej kolejności
- Włącz MFA na poczcie firmowej (Google Workspace / Microsoft 365)
- Włącz MFA na panelu administracyjnym strony i sklepu
- Włącz MFA na bankowości firmowej
- Włącz MFA na kontach social media firmy
- Włącz MFA na narzędziach księgowych i CRM
Ile to zajmie?
Włączenie MFA na jednym koncie to 3-5 minut. Dla całej firmy z 5-10 osobami — jedno popołudnie. To inwestycja, która zwraca się natychmiast: większość kampanii phishingowych traci skuteczność, gdy zespół ma MFA.
Podsumowanie
MFA to absolutne minimum cyberbezpieczeństwa w 2026 roku. Włącz dziś na poczcie firmowej, w przyszłym tygodniu na pozostałych kontach. Jeśli chcesz prostą instrukcję dla zespołu i checklistę „co jest już zabezpieczone”, Pakiet Start CyberStart zawiera gotowy materiał wdrożeniowy.