Słownik

Uwierzytelnianie dwuskładnikowe (2FA) — co to jest?

2FA to metoda logowania wymagająca dwóch dowodów tożsamości. Nawet skradzione hasło nie wystarczy, by wejść na konto. Dowiedz się, jak włączyć 2FA.

Redakcja Bezpieczny Internet Ostatnia aktualizacja

Uwierzytelnianie dwuskładnikowe (ang. Two-Factor Authentication, w skrócie 2FA, zwane też weryfikacją dwuetapową) to metoda logowania, która wymaga podania dwóch niezależnych dowodów tożsamości z dwóch różnych kategorii:

  • coś, co wiesz — hasło lub PIN,
  • coś, co masz — telefon, aplikacja uwierzytelniająca, klucz sprzętowy,
  • coś, czym jesteś — odcisk palca, twarz (biometria).

Klasyczne 2FA łączy zwykle hasło (kategoria 1) z kodem z SMS lub aplikacji (kategoria 2). Nawet jeśli ktoś wykradnie Twoje hasło — przez phishing, wyciek danych lub odgadnięcie — bez drugiego składnika nie zaloguje się na Twoje konto.

Jak to działa

Kod SMS (OTP) — po wpisaniu hasła serwis wysyła jednorazowy kod na Twój numer telefonu. Łatwe w konfiguracji, ale podatne na SIM swapping (przejęcie numeru przez przestępcę) i ataki SS7.

Aplikacja uwierzytelniająca (TOTP) — aplikacja (np. Google Authenticator, Microsoft Authenticator, Aegis na Androida, Raivo OTP na iOS) generuje 6-cyfrowy kod odświeżany co 30 sekund. Kod obliczany jest na podstawie unikalnego klucza i bieżącego czasu — nie wymaga połączenia z internetem i jest znacznie bezpieczniejszy niż SMS. To rekomendowana metoda 2FA dla większości użytkowników.

Klucz sprzętowy (FIDO2/WebAuthn) — fizyczne urządzenie (np. YubiKey, Nitrokey) podłączane do portu USB lub przez NFC. Najwyższy poziom ochrony: klucz jest powiązany z konkretną domeną, co czyni go odpornym na phishing. Przestępca nie może użyć Twojego klucza zdalnie.

Passkeys — nowoczesna alternatywa łącząca 2FA i hasło w jedno kryptograficzne rozwiązanie. Szczegóły w haśle Passkey.

Przykłady

Konto Google — w ustawieniach bezpieczeństwa możesz wybrać aplikację uwierzytelniającą zamiast SMS. Każde nowe logowanie na nieznanym urządzeniu wymaga kodu z aplikacji.

Bankowość elektroniczna w Polsce — PKO BP, mBank, ING i inne banki używają 2FA obowiązkowo: transakcje potwierdzasz kodem SMS lub w aplikacji mobilnej banku. To wymóg regulacyjny (PSD2/dyrektywa SCA).

Konto e-mail — jedno z ważniejszych miejsc do zabezpieczenia 2FA, bo przez e-mail można zresetować hasła do innych serwisów. Atakujący, który przejął skrzynkę e-mail, może przejąć powiązane konta.

Manager hasełMenedżer haseł jak Bitwarden czy 1Password obsługuje logowanie 2FA do serwisów i sam może być zabezpieczony drugim składnikiem — klucz sprzętowy lub aplikacja TOTP chroni główny skarbiec.

Powiązane pojęcia

Rozumienie 2FA jest ściśle powiązane z passkeys — kolejnym krokiem ewolucji uwierzytelniania, odpornym na phishing. Menedżer haseł ułatwia zarządzanie unikalnymi hasłami (pierwszy składnik), a szyfrowanie chroni dane uwierzytelniające w przesyłaniu i przechowywaniu. Pamiętaj, że żaden drugi składnik nie jest w pełni skuteczny, jeśli urządzenie jest zainfekowane malware.

Nie daj się oszukać w sieci

Praktyczne poradniki, niezależne testy i jasne porównania — wszystko po polsku, bez marketingowej ściemy.

Czytaj poradniki Sprawdź narzędzia