Praktyczna droga do odpornego na phishing odzyskiwania dostępu
Wyobraź sobie taką sytuację: zamiast całkowicie usuwać hasła, można je „uratować” za pomocą passkey. Podczas gdy nagłówki w branży krzyczą „passkeys zabiją hasła”, specjaliści ds. cyberbezpieczeństwa w środowiskach opartych na systemach legacy wiedzą, że to nie takie proste. Hasła nie znikną z dnia na dzień – szczególnie w sektorach regulowanych, z rozbudowaną infrastrukturą, złożonymi politykami i wielpoziomowym dostępem.
Ale hasłom można pomóc.
I tu właśnie passkeys mogą odegrać swoją rolę – bez wymiany całej infrastruktury IAM.
Hasła nie umarły. To problem, który wciąż trzeba rozwiązać.
Rzeczywistość jest taka: instytucje finansowe, infrastruktura krytyczna i sektor publiczny nadal opierają się na hasłach w kluczowych procesach.
Dlaczego?
- Systemy legacy (np. Active Directory, aplikacje wewnętrzne, SAP)
- Wymogi regulacyjne dotyczące haseł
- Złożone grupy użytkowników: podwykonawcy, pracownicy terenowi, personel tymczasowy
- Wysokie koszty przejścia na pełne logowanie bezhasłowe
Więc jeśli nie pełna wymiana – to jaka alternatywa?
Przyjrzyjmy się powszechnemu problemowi związanemu z hasłami.
Kosztowne resetowanie haseł
W większości dużych organizacji reset hasła wygląda tak:
Pracownik zapomina hasła → zostaje zablokowany → dzwoni na helpdesk → odzyskuje dostęp po ~15 minutach.
Pomnóż to przez setki przypadków miesięcznie.
Średni koszt jednego zgłoszenia? 15-30 euro.
To ukryty koszt czasowy, budżetowy i związany z frustracją użytkowników.
Nowy wzorzec: passkeys jako warstwa odzyskiwania
Zamiast zastępować hasła, warto je uzupełnić o passkeys – szczególnie w takich momentach jak:
- zaplanowana zmiana hasła
- odzyskiwanie konta po blokadzie
- onboarding lub offboarding
Jak to działa:
- Rejestracja – pracownik dodaje passkey ze swojego telefonu (np. Face ID, odcisk palca)
- Blokada konta – użytkownik nie może zalogować się do Windowsa lub portalu
- Odzyskiwanie – ekran logowania pokazuje kod QR, użytkownik skanuje go telefonem
- Uwierzytelnienie – użytkownik potwierdza tożsamość passkey i może ustawić nowe hasło
Efekt:
Samodzielny, odporny na phishing reset hasła – bez kontaktu z działem IT.
Bez zmian w kodzie. Bez nowych aplikacji. Zgodne z Active Directory.
„Hasła spotykają passkeys” – strategia, która działa
To podejście sprawdza się szczególnie w środowiskach regulowanych, gdzie:
- pełna migracja do logowania bez hasła jeszcze nie jest możliwa
- przepisy wymagają użycia AD lub haseł
- każdy opór użytkownika przekłada się na obejścia i koszty wsparcia
Pomyśl o tym w ten sposób:
Passkeys nie muszą zastąpić haseł. Przynajmniej nie od razu. W pierszym kroku mogą je naprawić.
Naprawić ich:
- bezpieczeństwo
- dostępność
- kosztowność
Korzyści dla zespołów IAM:
- Mniej zgłoszeń do helpdesku
- Szybsze odzyskiwanie dostępu (nawet offline lub w terenie)
- Brak zmian w obecnej infrastrukturze – działa równolegle z AD, LDAP, aplikacjami legacy
- Lepsze doświadczenie użytkownika bez przepisywania aplikacji
- Mierzalne oszczędności kosztowe na użytkownika rocznie
Czy to podejście jest dla Ciebie?
Sprawdzi się w organizacjach, które:
- Nadal muszą używać haseł dla części użytkowników lub aplikacji
- Działają w środowiskach regulowanych (bankowość, telekom, energia)
- Chcą wdrożyć passkeys bez przebudowy infrastruktury
- Szukają szybkich usprawnień, by obniżyć koszty i zmniejszyć tarcia
Na koniec:
Hasła są złe, passkeys są dobre, ale rzeczywistość w złożonych organizacjach jest inna. Uwierzytelnianie bez haseł, passwordless, to nie rewolucja. To pomost między hasłami, które zawodzą, a passkeys, które pozwalają działać sprawniej i bezpieczniej.
Chcesz zobaczyć, jak to działa w praktyce?
Umów się na krótką rozmowę i zobacz, jak można wdrożyć odzyskiwanie konta z użyciem passkeys w środowisku Active Directory.
Bez kodowania. Bez przepisywania aplikacji. Po prostu lepsze IAM.
Antoni Sikora 