MFA (Multi-Factor Authentication)

MFA (Multi-Factor Authentication), czyli Uwierzytelnianie Wieloskładnikowe, to metoda kontroli dostępu do systemów cyfrowych (np. panelu Google Ads, firmowego maila, systemu CMS), która wymaga od użytkownika podania co najmniej dwóch różnych form weryfikacji tożsamości przed zalogowaniem.

Klasyczny model MFA opiera się na kombinacji minimum dwóch z trzech filarów:

1. Coś, co znasz (Wiedza): Hasło lub kod PIN.
2. Coś, co masz (Posiadanie): Smartfon odbierający kod SMS, aplikacja (np. Google Authenticator) lub fizyczny klucz sprzętowy.
3. Coś, czym jesteś (Biometria): Odcisk palca (TouchID) lub skan twarzy (FaceID).

Choć jeszcze do niedawna MFA (często w formie 2FA – weryfikacji dwuetapowej) było uważane za złoty standard bezpieczeństwa, w obliczu nowoczesnych cyberataków wymierzonych w działy marketingu stało się ono niewystarczające.

Dlaczego tradycyjne MFA daje złudne poczucie bezpieczeństwa?

Dla Managera Marketingu kluczowe jest zrozumienie, że hakerzy w 2026 roku nie łamią już haseł i nie próbują zgadywać kodów MFA. Oni je po prostu omijają. Tradycyjne metody (SMS-y, aplikacje autoryzujące) upadają pod ciężarem dwóch rodzajów ataków:

• Session Hijacking (Kradzież Ciasteczek): Jak wyjaśniono w definicji Infostealera, złośliwe oprogramowanie kradnie z przeglądarki plik cookie (ciasteczko). Ciasteczko to jest elektronicznym dowodem dla Google, że użytkownik już przeszedł proces MFA. Haker wgrywając je do swojej przeglądarki, wchodzi na konto bez podawania jakichkolwiek kodów. To jak kradzież podbitej przepustki na festiwal – nikt nie pyta Cię o dowód osobisty na bramce.
• Ataki AiTM (Adversary-in-the-Middle): Użytkownik klika w link phishingowy (np. z maila udającego alert z Google Ads). Strona wygląda identycznie jak panel logowania Google. Użytkownik wpisuje hasło i przepisuje kod z aplikacji Authenticator. Strona-pośrednik (proxy) w ułamku sekundy przekazuje ten kod do prawdziwego serwera Google i natychmiast kradnie otwartą w ten sposób sesję.

Nowy standard bezpieczeństwa dla Agencji: Klucze Sprzętowe (U2F/FIDO2)

Zwykłe kody, które można “przepisać” lub przechwycić, nie chronią już budżetów reklamowych (tzw. zagrożenie dla kont MCC).

Odpowiedzią rynku i gigantów technologicznych na kradzieże kont jest przejście na sprzętowe klucze bezpieczeństwa (np. YubiKey), działające w standardzie FIDO2/WebAuthn. Zamiast przepisywać kod z telefonu, pracownik musi włożyć mały klucz do portu USB w komputerze i go dotknąć.

Dlaczego to działa? Klucz sprzętowy kryptograficznie weryfikuje, czy strona, na której się logujesz, to prawdziwe google.com, a nie fałszywa strona phishingowa g00gle.com. Jeśli domena się nie zgadza, klucz odmówi logowania. Jest całkowicie odporny na ataki AiTM.