Czy kody SMS nadal są bezpieczne jako drugi czynnik (2FA)?

Kody SMS wciąż zwiększają bezpieczeństwo w porównaniu z samym hasłem, ale mają znane słabości: podatność na ataki SIM‑swap, możliwość przechwycenia wiadomości oraz wyższe koszty. Tam, gdzie to możliwe, zalecane są bezpieczniejsze metody, takie jak aplikacje uwierzytelniające (TOTP), powiadomienia push lub standardy FIDO i passkeys. SMS można traktować jako awaryjny fallback podczas migracji użytkowników do nowych technologii.

Czym są passkeys i dlaczego banki je wdrażają?

Passkeys to metoda uwierzytelniania oparta na kryptografii klucza publicznego (standardy FIDO), która eliminuje hasła i znacząco zmniejsza ryzyko phishingu oraz credential stuffing. Banki i platformy wdrażają passkeys, bo oferują one wysoki poziom bezpieczeństwa przy dobrym UX: logowanie może być szybkie, odporne na podszywanie się i przenośne między urządzeniami, o ile wdrożono mechanizmy odzyskiwania i migracji.

Co zrobić, jeśli podejrzewam, że otrzymałem wiadomość phishingową z rzekomego banku?

Przerwij kontakt, nie klikaj w linki zawarte w wiadomości i nie podawaj danych. Skontaktuj się bezpośrednio z bankiem poprzez oficjalną infolinię lub aplikację, wpisując adres strony ręcznie. Zgłoś wiadomość do instytucji oraz, jeśli to możliwe, przesyłając ją na dedykowany adres anty‑phishingowy banku. Regularnie kontroluj historię transakcji i, w razie wątpliwości, zablokuj dostęp do konta.

Jak użytkownik ma przygotować się do migracji z SMS do FIDO/passkeys?

Użytkownik powinien zaktualizować oprogramowanie i urządzenia, zainstalować rekomendowane aplikacje uwierzytelniające, zapoznać się z instrukcjami banku dotyczącymi rejestracji passkeys oraz rozważyć użycie menedżera haseł. Warto również skorzystać z materiałów edukacyjnych udostępnianych przez instytucję i przygotować alternatywne metody odzyskiwania dostępu (np. numer telefonu lub urządzenie zaufane).

Polacy oceniają zabezpieczenia banków i platform inwestycyjnych: dojrzały rynek, SMS wciąż królem, ale FIDO i passkeys rosną

6 Minuty

Wprowadzenie — czego dowodzi badanie z lipca 2025 r.?

W lipcu 2025 roku przeprowadzono reprezentatywne badanie CAWI na próbie 720 aktywnych klientów banków, brokerów i platform inwestycyjnych. Wyniki pokazują, że logowanie mobilne i internetowe stało się powszechne: klasyczny duet login + hasło pozostaje podstawą, ale większość użytkowników korzysta z dodatkowych mechanizmów uwierzytelniania. To potwierdza dojrzałość polskiego rynku usług finansowych — jednocześnie ujawnia wyzwania związane z edukacją klientów i koniecznością ewolucji od kodów SMS do nowoczesnych standardów, takich jak FIDO i passkeys.

Najważniejsze w skrócie

94% respondentów regularnie otrzymuje kod SMS lub wpisuje dodatkowy PIN podczas logowania;
62,5% wykorzystuje biometrię (odcisk palca lub skan twarzy);
44,4% korzysta z powiadomień push w aplikacjach uwierzytelniających;
W subiektywnej ocenie bezpieczeństwa 85,6% przyznało „4” na 5-punktowej skali, a 4,9% — „5” (średnia 3,9);
Tylko 0,7% badanych deklaruje, że padło ofiarą udanego oszustwa w ostatnich 12 miesiącach, ale 16,1% nie potrafi ocenić, czy doszło do incydentu;
Rotacja haseł pozostawia wiele do życzenia: 43% zmienia hasła rzadziej niż raz w roku, 8,3% nie pamięta, by kiedykolwiek to robiło.

Jakie metody uwierzytelniania dominują — funkcje i cechy

SMS i PIN (2FA)

SMS jako drugi czynnik (2FA) pozostaje powszechnym zabezpieczeniem. Jego zalety to prostota wdrożenia i przyzwyczajenie użytkowników. Wadami są podatność na ataki SIM-swap, koszty operatorów i ryzyko przechwycenia wiadomości.

Aplikacje uwierzytelniające i powiadomienia push

Powiadomienia push (np. mobilne autoryzacje bankowe lub Microsoft Authenticator) oferują wygodę i większe bezpieczeństwo wobec SMS-ów: przesyłana jest autoryzacja zamiast kodu, a po stronie aplikacji można weryfikować kontekst (lokalizacja, urządzenie). 44,4% badanych już korzysta z takiego rozwiązania.

Biometria (odcisk palca, rozpoznawanie twarzy)

Biometria daje szybkie i wygodne logowanie na urządzeniach mobilnych. 62,5% użytkowników wskazało jej użycie, ale tylko 16,7% uznało ją za absolutnie niezbędną — to dowód, że klienci rozróżniają wygodę od obowiązku.

Klucze sprzętowe U2F i standardy FIDO / passkeys

Klucze U2F i standard FIDO (Fast Identity Online) oferują silne uwierzytelnianie bez hasła lub jako element wieloskładnikowej ochrony. Tylko niewielki odsetek użytkowników (6,9%) traktuje sprzętowy klucz jako konieczność, ale rośnie zainteresowanie passkeys — przejściem ku uwierzytelnianiu opartemu na kluczach kryptograficznych, które eliminują ryzyko phishingu i ataków typu credential stuffing.

Porównanie technologii: zalety i wady

SMS vs aplikacja uwierzytelniająca

Zalety SMS: prostota, powszechność, brak potrzeby instalacji dodatkowego oprogramowania dla mniej zaawansowanych użytkowników.
Wady SMS: podatność na SIM-swap, łatwiejsze podsłuchanie, wyższe koszty. Aplikacje uwierzytelniające (TOTP) i push są bezpieczniejsze, odporne na SIM-swap i pozwalają na lepszą kontrolę kontekstu sesji.

Biometria vs passkeys / FIDO

Biometria: wygodna, szybka, zależna od urządzenia. Dobre doświadczenie użytkownika, ale może być podatna na błędy liveness lub problemy przy migracji między urządzeniami.
Passkeys / FIDO: większe bezpieczeństwo dzięki kryptografii klucza publicznego, odporność na phishing i możliwość logowania bez hasła. Wyzwania to potrzeba interoperacyjności, edukacji użytkowników i integracji z istniejącymi systemami.

Use cases — gdzie która metoda ma sens?

Bankowość detaliczna

Najlepiej sprawdza się hybrydowe podejście: SMS jako dostępne „wyjście awaryjne”, push i aplikacje uwierzytelniające jako domyślne metody 2FA, a biometryczne logowanie jako wygodna metoda na urządzeniach mobilnych.

Giełdy kryptowalut i platformy inwestycyjne

Tutaj priorytetem powinno być maksymalne bezpieczeństwo: wymuszona 2FA (preferowane TOTP lub FIDO), możliwość użycia sprzętowego klucza U2F oraz szybkie reakcje na nieautoryzowane działania. Z uwagi na wartość przechowywanych aktywów, wiele giełd już nakłada obowiązek dodatkowego uwierzytelnienia.

Platformy traderskie i domy maklerskie

Wymagane są rozwiązania minimalizujące ryzyko przejęcia konta (account takeover). Sugerowane są wielowarstwowe mechanizmy zabezpieczeń: menedżery sesji, behawioralne MFA i alerty o podejrzanej aktywności.

Rekomendacje dla użytkowników — jak poprawić swoje bezpieczeństwo

Korzystaj z unikalnych, silnych haseł i przechowuj je w dedykowanym menedżerze haseł zamiast w przeglądarce;
Włącz 2FA: preferuj aplikacje uwierzytelniające lub passkeys zamiast SMS-ów, tam gdzie to możliwe;
Używaj oprogramowania antywirusowego i aktualizuj systemy, by ograniczyć ryzyko malware;
Uważaj na phishing: nie klikaj linków z wiadomości SMS czy e‑maili — loguj się bezpośrednio przez oficjalną stronę lub aplikację;
Jeśli otrzymasz podejrzane powiadomienie lub telefon, przerwij rozmowę i skontaktuj się oficjalnie z bankiem lub platformą przez infolinię;
Rotacja haseł: zamiast częstych zmian słabych haseł, korzystaj z unikalnych haseł wspartych 2FA — to podejście zalecane przez NIST i ENISA.

Rekomendacje dla instytucji finansowych — jak przeprowadzić migrację z SMS do FIDO

1. Stopniowa implementacja i fallback

Wdrażanie FIDO i passkeys powinno być fazowe: najpierw umożliwić nowe metody jako opcję, zapewniając jednocześnie bezpieczne mechanizmy awaryjne dla użytkowników starszych urządzeń.

2. Komunikacja i edukacja

Kampanie informacyjne, instrukcje krok po kroku oraz obsługa klienta przygotowana do pomocy przy migracji są kluczowe. Badanie pokazuje, że użytkownicy obawiają się utraty komfortu — transparentna komunikacja niweluje ten opór.

3. UX bez bólu

Nowe rozwiązania muszą być niemal bezobsługowe: szybkie rejestracje passkeys, proste odzyskiwanie dostępu z zachowaniem bezpieczeństwa i minimalna liczba kroków autoryzacji.

4. Wewnętrzne polityki bezpieczeństwa

Wzmocnienie detekcji anomalii, wprowadzenie behawioralnego MFA i automatyczne blokady po wykryciu podejrzanej aktywności zmniejszą ryzyko kradzieży środków i przejęcia kont.

Dlaczego edukacja klientów jest krytyczna?

Mimo wysokiego poziomu zaufania, blisko jedna piąta respondentów nie potrafiła stwierdzić, czy padła ofiarą ataku. To sygnał, że nawet najnowocześniejsze technologie nie wystarczą bez umiejętności rozpoznania socjotechnicznych metod oszustwa. Instytucje powinny inwestować w proste komunikaty, testy phishingowe, webinary i materiały instruktażowe.

Rynek w Polsce — dojrzałość i perspektywy

Polska charakteryzuje się wysokim odsetkiem doświadczonych użytkowników: 83,6% korzysta z bankowości internetowej lub inwestycji online od 4 do 6 lat, a kolejne 8,6% — ponad 6 lat. To rynek, w którym klienci pamiętają wdrożenie PSD2, boom mobilny i falę phishingu. W efekcie potrafią ocenić zarówno wady SMS-ów, jak i zalety FIDO.

Jednak zmiana technologiczna będzie wymagać czasu. SMS pozostanie istotny przez kolejne lata, głównie jako rozwiązanie awaryjne i element zaufania klientów. W dłuższej perspektywie rosnąca adaptacja passkeys, FIDO i behawioralnego MFA powinna poprawić bezpieczeństwo i zmniejszyć skuteczność phishingu.

Wnioski i implikacje dla branży

1. Dwustopniowa weryfikacja działa

Polski sektor finansowy zbudował wysoki poziom zaufania oparty na 2FA. Nawet jeśli SMS nadal dominuje, wzrost użycia biometrii i push pokazuje kierunek migracji.

2. Komfort ma znaczenie

Użytkownicy akceptują mocniejsze zabezpieczenia, o ile nie nadwerężają komfortu korzystania. To istotne przy projektowaniu UX dla passkeys i FIDO.

3. Edukacja to fundament

Bez niej zaawansowane technologie mogą być omijane przez socjotechnikę. Wiedza użytkowników musi rosnąć równolegle z wprowadzaniem nowych standardów.

O badaniu

Badanie zrealizowane metodą CAWI zostało przeprowadzone przez Business Growth Review na zlecenie zondacrypto w lipcu 2025 r. Próba obejmowała 720 osób w wieku 25–50 lat. Wyniki służą jako barometr dojrzałości rynku i oczekiwań klientów wobec cyberbezpieczeństwa usług finansowych.

Podsumowanie

Polacy oceniają zabezpieczenia banków, brokerów i platform inwestycyjnych na „mocną czwórkę”. Sektor osiągnął wysoki poziom zaufania dzięki 2FA, ale kolejne kroki to usprawnienie migracji z SMS do FIDO i passkeys, lepsza komunikacja zmian oraz ciągła edukacja klientów. Tylko takie połączenie technologii, UX i świadomości pozwoli zachować bezpieczeństwo finansów przy jednoczesnym zachowaniu wygody użytkowników.

Źródło: businessinsider.com