Uwierzytelnianie MFA z RFID – od drzwi biurowych do logowania cyfrowego

W wielu organizacjach identyfikatory RFID w formie kart, breloków czy opasek są standardem w kontroli dostępu fizycznego. Pracownik przykłada kartę do czytnika i wchodzi do budynku. A co, jeśli ten sam identyfikator mógłby chronić również dostęp do systemów IT?

Czym jest RFID?

RFID (Radio-Frequency Identification) to technologia bezkontaktowa, która umożliwia identyfikację i wymianę danych między czytnikiem a urządzeniem obsługującym tę technologię, takim jak karta, brelok czy opaska. RFID jest najczęściej spotykane w systemach kontroli dostępu fizycznego, gdzie pracownik przykłada kartę lub pastylkę do czytnika i otwiera drzwi biurowe.

A gdyby tak wykorzystać ten mechanizm nie tylko do ochrony dostępu do budynku, lecz także do ochrony dostępu cyfrowego, np. jako część uwierzytelniania wieloskładnikowego dla logowania do aplikacji firmowych i stacji roboczych?

Uwierzytelnianie wieloskładnikowe (MFA) to już nie opcja, lecz obowiązek

Uwierzytelnianie wieloskładnikowe (MFA) jest już dziś twardym wymogiem regulacyjnym. Europejska dyrektywa NIS2, nadchodząca nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), a także regulacja DORA dla sektora finansowego jasno wskazują, że organizacje będą musiały wdrożyć MFA, aby spełnić wymagania prawne i standardy cyberbezpieczeństwa. Te wymagania są odpowiedzią na dzisiejszy krajobraz zagrożeń: realia wojny hybrydowej z Rosją oraz okres nasilonych ataków na infrastrukturę krytyczną prowadzonych przez zorganizowane grupy cyberprzestępcze.

Raport Verizon DBIR 2025 podaje, że aż 88% ataków na aplikacje webowe polega na wykorzystaniu skradzionych danych uwierzytelniających, w tym haseł. Z kolei Microsoft od dawna podkreśla, że zastosowanie uwierzytelniania wielofaktorowego potrafi powstrzymać nawet 99% ataków polegających na przejęciu konta.

Wdrożenie MFA to nie tylko kwestia zgodności z regulacjami, ale także utrzymania prestiżu i zaufania klientów. Trudno dziś wyobrazić sobie poważną organizację, która nie zabezpiecza dostępu pracowników do kluczowych elementów infrastruktury IT za pomocą dodatkowych mechanizmów uwierzytelniania.

RFID jako element uwierzytelniania wieloskładnikowego

Przykładem rozwiązania umożliwiającego wykorzystanie technologii RFID jako metody w uwierzytelnianiu wieloskładnikowym jest polski Rublon MFA. Dzięki niemu pracownicy mogą używać swoich identyfikatorów pracowniczych również do logowania MFA do stacji roboczych z systemem Windows.

Integracja RFID z mechanizmami MFA przynosi liczne korzyści biznesowe:

• Jeden klucz do biura i systemów IT – jeden identyfikator obsługuje zarówno dostęp fizyczny, jak i cyfrowy.
• Praktyczność – pracownik nie musi pamiętać dodatkowych kodów czy instalować aplikacji mobilnej – wystarczy karta lub brelok, który i tak nosi przy sobie codziennie.
• Bezpieczeństwo – RFID staje się drugim składnikiem uwierzytelniania, uzupełniając hasło i podnosząc poziom ochrony.
• Wykorzystanie istniejącej infrastruktury – przedsiębiorstwa nie muszą inwestować w nowe tokeny czy klucze sprzętowe, skoro już posiadają system kontroli dostępu oparty na RFID.
• Łatwiejsze zarządzanie dostępem – dział IT może centralnie kontrolować uprawnienia dostępu pracowników i polityki bezpieczeństwa uwierzytelniania wieloskładnikowego.

RFID świetnie sprawdza się w organizacjach, które chcą wykorzystać istniejącą infrastrukturę kontroli dostępu. Jednak w sytuacjach wymagających najwyższego poziomu ochrony warto sięgnąć po rozwiązania odporne na phishing zgodne ze standardem FIDO2.

FIDO2 – krok dalej w stronę otwartych standardów i bezpieczeństwa

Choć zastosowanie technologii RFID do logowania MFA jest wygodnym rozwiązaniem, warto zwrócić uwagę na rosnące znaczenie oraz wyższy poziom bezpieczeństwa standardu FIDO2 (Fast IDentity Online 2).

FIDO2 to otwarty standard uwierzytelniania oparty na silnej kryptografii, wspierany przez największych dostawców systemów operacyjnych i przeglądarek. Jego zastosowanie praktycznie eliminuje ryzyko przechwycenia danych logowania i zapewnia odporność na ataki phishingowe.

FIDO2 może być realizowane zarówno w formie sprzętowych kluczy bezpieczeństwa, jak i kluczy dostępu (passkeys). Passkey może być przechowywany w module TPM urządzenia, w menedżerze haseł lub na smartfonie użytkownika, co umożliwia bezpieczne i wygodne uwierzytelnianie na różnych platformach.

W praktyce FIDO2 może być stosowane równolegle z metodą RFID, m.in. w rozwiązaniach takich jak Rublon MFA, co pozwala budować spójny model uwierzytelniania obejmujący zarówno tradycyjne identyfikatory, jak i mechanizmy odporne na phishing. Administratorzy mogą przy tym elastycznie określać, które metody są dostępne dla poszczególnych użytkowników oraz które z nich mają być wymagane przy dostępie do bardziej wrażliwych zasobów.

Zalety zastosowania kluczy sprzętowych FIDO2 do uwierzytelniania wielofaktorowego są następujące:

• Odporność na phishing – w przeciwieństwie do haseł, uwierzytelniaczy RFID czy kodów SMS, klucze FIDO2 nie ujawniają żadnych danych uwierzytelniających i mogą być użyte wyłącznie w prawidłowej domenie, co uniemożliwia ich przechwycenie lub wykorzystanie na fałszywej stronie.
• Prosta obsługa dla użytkownika – wystarczy fizyczne użycie klucza (włożenie do portu USB lub zbliżenie NFC i dotknięcie), co minimalizuje błędy i ułatwia codzienną pracę.
• Wsparcie dla wielu scenariuszy logowania – klucze mogą być używane zarówno do uwierzytelniania w systemach lokalnych, jak i w aplikacjach chmurowych czy serwisach webowych.
• Zgodność z najwyższym poziomem NIST AAL3 – klucze FIDO2 z włączoną weryfikacją użytkownika (PIN lub biometria) spełniają wymagania najwyższego poziomu bezpieczeństwa według standardu NIST SP 800‑63B (AAL3), który jest szeroko uznawany i cytowany na całym świecie, m.in. przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Ma to kluczowe znaczenie przy ochronie dostępu do systemów krytycznych, w tym w sektorze publicznym i przedsiębiorstwach komunalnych.

RFID + FIDO2 jako kompletny ekosystem uwierzytelniania dla nowoczesnych organizacji

Zastosowanie identyfikatorów RFID do uwierzytelniania wieloskładnikowego to przykład, jak istniejące technologie można rozszerzyć na obszar uwierzytelniania cyfrowego użytkowników. Identyfikator pracowniczy staje się nie tylko kluczem do biura, ale także kluczem do cyfrowych zasobów. Z kolei standard FIDO2 pokazuje kierunek, w którym zmierza uwierzytelnianie: ku odpornej na phishing przyszłości.

W systemach takich jak Rublon MFA możliwe jest jednoczesne wykorzystanie RFID oraz uwierzytelniania FIDO2 w ramach jednego scentralizowanego rozwiązania do uwierzytelniania wieloskładnikowego. Zastosowanie identyfikatorów pracowniczych RFID, kluczy bezpieczeństwa FIDO U2F i FIDO2 oraz kluczy dostępu FIDO2 passkeys, a także innych metod, takich jak Powiadomienie mobilne, Link SMS czy Kod QR, pozwala organizacjom budować spójny i elastyczny ekosystem uwierzytelniania dopasowany do różnych scenariuszy bezpieczeństwa i wymagań regulacyjnych.
Więcej informacji: www.rublon.pl