Uwierzytelnianie dwuskladnikowe (2FA) to proces logowania wymagajacy dwoch niezaleznych dowodow tozsamosci, zanim zostanie udzielony dostep do konta. Pierwszym skladnikiem jest zwykle cos, co uzytkownik wie (haslo). Drugim skladnikiem jest cos, co uzytkownik ma (smartfon z aplikacja TOTP, klucz sprzetowy jak YubiKey, kod SMS, powiadomienie push) lub czyms, czym uzytkownik jest (odcisk palca, skan twarzy). Nawet jesli atakujacy ukradnie haslo przez phishing, wyciek danych lub credential stuffing, nie zaloguje sie bez kontroli nad drugim skladnikiem. Google podal w maju 2019, ze dodanie numeru odzyskiwania blokuje 100 procent ataku botow, 99 procent masowego phishingu i 90 procent ataku ukierunkowanych. Microsoft opublikowal w 2019, ze konta z dowolna forma 2FA sa o 99,9 procent mniej narazone na kompromitacje.
Jak dziala 2FA?
- TOTP: szescioznakowy kod zmieniajacy sie co 30 sekund (RFC 6238, 2011).
- Push: Duo Mobile, Microsoft Authenticator.
- SMS: podatny na SIM swap.
- Email.
- Klucz sprzetowy: YubiKey, Google Titan, Feitian, Nitrokey.
- Biometria: Touch ID, Face ID, Windows Hello.
- Kody zapasowe.
Roznica miedzy 2FA i MFA
MFA to termin ogolny. 2FA uzywa dokladnie dwoch skladnikow. PSD2 i Executive Order 14028 (maj 2021) wymagaja czasem trzech.
Ktora metoda jest najbezpieczniejsza?
- Passkeys / WebAuthn / FIDO2 sprzetowe.
- Aplikacje TOTP.
- Push: ryzyko MFA fatigue, Uber 2022.
- SMS: najslabszy. Jack Dorsey, sierpien 2019.
- Email.
Czym sa Passkeys?
Bezhaslowa ewolucja WebAuthn ustandaryzowana przez FIDO Alliance, wspierana przez Apple (iOS 16, wrzesien 2022), Google (Chrome 108, pazdziernik 2022) i Microsoft (Windows 11). Klucz prywatny w bezpiecznym enclave, logowanie biometria, odporne na phishing.
Jak wlaczyc 2FA w WordPressie?
- Two Factor (darmowa, 40.000+ instalacji).
- Wordfence Login Security.
- WP 2FA od Melapress.
- miniOrange Google Authenticator.
- Jetpack.
Kroki z Two Factor:
- Zainstaluj i aktywuj.
- Otworz
Uzytkownicy » Profili znajdz Two Factor Options. - Wlacz TOTP, zeskanuj QR, wpisz kod.
- Wygeneruj kody zapasowe.
- Opcjonalnie zarejestruj YubiKey.
- Wyloguj sie i przetestuj.
MFA fatigue
- Uzywaj TOTP lub kluczy sprzetowych w krytycznych kontach.
- Wlacz number matching (Microsoft Authenticator od lutego 2023).
- Blokuj po wielu odmowach.
- Szkol uzytkownikow.
Standardy 2FA
| Standard | Rok | Cel |
|---|---|---|
| RFC 4226 HOTP | 2005 | OTP licznikowe |
| RFC 6238 TOTP | 2011 | OTP czasowe |
| FIDO U2F | 2014 | Klucz sprzetowy |
| FIDO2 / WebAuthn | 2019 | Logowanie bezhaslowe |
| NIST SP 800 63B Rev 3 | 2017 | Wytyczne federalne USA |
| PSD2 SCA | 2019 | Silne uwierzytelnianie platnosci |
| Passkeys | 2022 | Synchronizowane WebAuthn |
Czeste bledy
- Kody zapasowe w tym samym managerze hasel.
- Ta sama karta SIM dla SMS 2FA i odzyskiwania emaila.
- Brak zapasowego klucza sprzetowego.
- Reset hasla emailem bez 2FA.
- Brak wymuszenia 2FA dla administratorow.
Jak InspectWP pomaga?
InspectWP wykrywa, czy strona WordPress udostepnia /wp-login.php bez widocznego wyzwania 2FA.