Polacy oceniają zabezpieczenia banków i platform inwestycyjnych na mocną „czwórkę”. Jak wygląda przyszłość 2FA, FIDO i passkeys?

Wstęp: codzienność logowania i rosnące oczekiwania

Jeszcze dekadę temu logowanie do bankowości mobilnej było nowinką; dziś dla większości Polaków stało się tak naturalne jak sprawdzenie pogody. Wraz z upowszechnieniem smartfonów i aplikacji finansowych ewoluowały także metody zabezpieczania dostępu — od kodów SMS przez biometrię aż po sprzętowe klucze U2F i standardy FIDO. Na ile użytkownicy ufają tym rozwiązaniom i co chcieliby zmienić? Odpowiedzi przynosi badanie z lipca 2025 r. przeprowadzone metodą CAWI na 720 aktywnych klientach banków, brokerów i platform inwestycyjnych.

Główne wyniki badania

Wyniki pokazują, że klasyczny duet login + hasło wciąż jest powszechny, ale dla zdecydowanej większości to tylko pierwszy etap autoryzacji. Aż 94% respondentów deklaruje korzystanie z drugiego składnika w postaci kodu SMS lub dodatkowego PIN-u. Biometria — odcisk palca lub skan twarzy — jest używana przez 62,5% użytkowników, a powiadomienia push z aplikacji uwierzytelniających (np. Microsoft Authenticator czy autoryzacje bankowe) korzysta 44,4% badanych.

Subiektywne poczucie bezpieczeństwa: „mocna czwórka”

Na pięciostopniowej skali komfortu użytkowania 85,6% osób wybrało ocenę 4, a 4,9% dało maksymalną 5. Średnia ocena to 3,9 — Polacy czują się w miarę bezpiecznie, ale dostrzegają pole do poprawy. Tylko 0,7% potwierdziło, że padło ofiarą udanej kradzieży online w ciągu ostatnich 12 miesięcy, co wskazuje na skuteczność wielowarstwowych zabezpieczeń. Jednocześnie 16,1% respondentów nie potrafiło stwierdzić, czy doświadczyło ataku — to sygnał alarmowy dla instytucji, że edukacja użytkowników wciąż jest potrzebna.

Rola 2FA: SMS nadal króluje, ale rośnie znaczenie FIDO i passkeys

Dwuskładnikowe uwierzytelnienie (2FA) pozostaje fundamentem bezpieczeństwa usług finansowych. W badaniu 90,3% użytkowników wskazało SMS jako element obowiązkowy, podczas gdy tylko 41,7% uznało autoryzację push za niezbędną. Biometrię jako konieczność wskazało 16,7% respondentów, a sprzętowy klucz jedynie 6,9%.

To pokazuje, że chociaż nowoczesne rozwiązania (FIDO, passkeys, klucze U2F) zdobywają zwolenników, adaptacja postępuje stopniowo. SMS pozostaje powszechny ze względu na prostotę i przyzwyczajenie użytkowników, mimo że jest podatny na ataki typu SIM-swap i ma wyższe koszty operacyjne. Dlatego migracja do bezhasłowych rozwiązań powinna być prowadzona łagodnie i wsparta szeroką kampanią edukacyjną.

Bezpieczeństwo techniczne: dlaczego samo hasło nie wystarcza

Eksperci bezpieczeństwa podkreślają, że socjotechnika — phishing, vishing, malware czy honey trap — nadal jest skutecznym narzędziem przestępców. Manipulacja wyglądem komunikatów, wykorzystanie znanych nazwisk czy grafik buduje fałszywe poczucie zaufania i ułatwia przejęcie danych uwierzytelniających. Dlatego nawet długie i unikalne hasło może okazać się niewystarczające bez dodatkowej warstwy ochrony, jak 2FA oparte na aplikacji czy kluczu sprzętowym.

Praktyczne rekomendacje — co powinni robić użytkownicy

Silne hasła i menedżery haseł

Najważniejszym krokiem jest stosowanie unikalnych, silnych haseł dla każdego serwisu finansowego. Zamiast przechowywać loginy w przeglądarce, warto używać menedżera haseł, który generuje i bezpiecznie trzyma hasła — to zgodne z rekomendacjami NIST i ENISA.

Preferowanie aplikacji uwierzytelniających zamiast SMS

Aplikacje takie jak Google Authenticator czy Microsoft Authenticator (oraz natywne autoryzacje bankowe) oferują silniejsze zabezpieczenie niż SMS. Wiele giełd i banków wymaga już 2FA, a aplikacje generujące kody lub autoryzacje push są bardziej odporne na ataki przejmowania numeru.

Oprogramowanie antywirusowe i aktualizacje

Antywirus, aktualne systemy operacyjne i aplikacje oraz ostrożność przy instalacji oprogramowania to podstawowe elementy ochrony przed malware, które kradnie dane logowania.

Uważna komunikacja z dostawcami usług

Warto potwierdzać nieznane telefony i wiadomości, nie klikać w linki prowadzące do paneli logowania, tylko wpisywać adresy ręcznie i kontaktować się z oficjalną infolinią przy podejrzanych sytuacjach — to rekomendacja ComCERT i specjalistów branżowych.

Porównanie technologii: SMS vs aplikacje 2FA vs FIDO/passkeys

SMS — zalety i wady

Zalety: dostępność (działa praktycznie na każdym telefonie), prostota, niskie wymagania edukacyjne. Wady: podatność na SIM-swap, przechwytywanie wiadomości, wyższe koszty, słabsza odporność na zaawansowane ataki.

Aplikacje 2FA (TOTP, push)

Zalety: bezpieczniejsze niż SMS, działają offline (TOTP), autoryzacje push bywają bardziej przyjazne UX-owo. Wady: wymagają smartfona i czasem migracji między urządzeniami, co może być barierą dla mniej zaawansowanych użytkowników.

FIDO i passkeys

Zalety: bezhasłowe uwierzytelnianie oparte na kryptografii asymetrycznej, wysoka odporność na phishing, możliwość użycia biometrii lub kluczy sprzętowych. Wady: potrzeba adaptacji infrastruktury serwerowej i edukacji użytkowników; migracja powinna być zaplanowana, by nie zniechęcić klientów przyzwyczajonych do SMS.

Funkcje i cechy rozwiązań (product features)

W kontekście bankowości i platform inwestycyjnych kluczowe cechy rozwiązań bezpieczeństwa to:

• Uwierzytelnianie wieloskładnikowe (MFA) z możliwością konfiguracji różnych metod: SMS, TOTP, push, biometria, klucze sprzętowe.
• Wsparcie FIDO2/passkeys, umożliwiające bezhasłowe logowanie z użyciem urządzeń mobilnych, TPM lub kluczy U2F.
• Zarządzanie sesjami i detekcja anomalii (np. logowania z nowych lokalizacji, podejrzane IP).
• Integracje z menedżerami haseł oraz możliwość wielokanałowego powiadamiania użytkownika o ważnych zdarzeniach.
• Mechanizmy odzyskiwania konta zaprojektowane tak, by minimalizować ryzyko przy jednoczesnym utrzymaniu dostępności dla klienta.

Zastosowania i scenariusze użycia

Use case'y obejmują:

• Klienci bankowości detalicznej: szybkie i bezpieczne logowanie do aplikacji mobilnej z opcją biometrii i 2FA.
• Traderzy i inwestorzy: wielowarstwowe zabezpieczenia na giełdach kryptowalut i platformach brokerskich, które chronią dostęp do środków i zleceń.
• Obsługa klienta i autoryzacje transakcji: potwierdzenia push zamiast SMS do autoryzacji przelewów.
• Instytucje finansowe migrujące do FIDO: stopniowa wymiana kodów SMS na passkeys z kampanią edukacyjną i mechanizmami fallback.

Wnioski dla rynku i rekomendacje strategiczne

Badanie pokazuje dojrzałość polskiego rynku finansowego: większość klientów korzysta z bankowości internetowej od kilku lat, pamięta PSD2 i wzrost ataków phishingowych. Instytucje zyskały zaufanie oparte na 2FA, lecz dalsze zwiększanie poziomu bezpieczeństwa wymaga przemyślanej strategii:

• Stopniowa migracja z SMS do FIDO i passkeys powinna być komunikowana jasno, z zachowaniem opcji fallback i wsparcia technicznego.
• Wprowadzanie nowych metod powinno iść w parze z kampaniami edukacyjnymi, bo aż 1/5 użytkowników nie jest pewna, czy padła ofiarą oszustwa.
• Firmy powinny wymuszać 2FA przy krytycznych operacjach, a jednocześnie upraszczać UX tam, gdzie to możliwe — użytkownicy zaakceptują większe zabezpieczenia, jeśli nie będą one kosztować wygody.

Podsumowanie

Polacy oceniają obecne zabezpieczenia banków, brokerów i platform inwestycyjnych na solidną "czwórkę": czują się w większości bezpiecznie, ale widzą przestrzeń do poprawy. SMS wciąż pełni rolę filaru 2FA, mimo że technologie takie jak biometryka, autoryzacje push, FIDO i passkeys zyskują na popularności. Klucz do utrzymania wysokiego poziomu ochrony leży w połączeniu bezproblemowej obsługi, silnej kryptografii oraz intensywnej edukacji klientów. Tylko takie podejście pozwoli na płynną migrację do bezpieczniejszych metod uwierzytelniania i utrzymanie wysokiego poziomu zaufania użytkowników.

Metodologia badania

Badanie zostało przeprowadzone w lipcu 2025 r. metodą CAWI przez Business Growth Review na zlecenie zondacrypto. Próba obejmowała 720 reprezentatywnych Polek i Polaków w wieku 25–50 lat korzystających aktywnie z bankowości i inwestycji online.