Wyobraź sobie taką scenę: jest 2:17 w nocy. Śpisz. Twój telefon nie pika, bo nie dostałeś żadnego podejrzanego maila z „Pilne – zresetuj hasło”. Haker nie musiał zgadywać Twojego „P@ssw0rd2025!”, ani nawet uruchamiać brute-force. Po prostu wszedł na darknet market, wpłacił równowartość 5 dolarów w Monero i kupił gotowy dostęp do Twojego konta Google / Microsoft 365 / GitHub / banku. Kilka minut później siedzi w Twoim OneDrive, czyta maile firmowe albo transferuje pieniądze. Ty dowiadujesz się o tym dopiero rano, kiedy ktoś z zespołu pyta: „Czemu ktoś z Twojego konta właśnie usunął 400 repozytoriów?”. Brzmi jak kiepski film? W 2026 roku to codzienność.
Hasła przestały być słabym ogniwem – one są już trupem.
Dlaczego hasła są martwe w 2026 roku?
Najpopularniejsze wektory ataków w ostatnich latach (raporty Verizon DBIR, Mandiant M-Trends, Google SA24 / Phishing Trends) pokazują ten sam schemat:
- Phishing – nadal numer 1. Nie chodzi już o głupie maile z „Twoje konto zostanie zablokowane”. Atakujący tworzą idealne klony stron logowania (Login.gov, Okta, Microsoft, Google) i wyłudzają dane w czasie rzeczywistym. Nawet jeśli masz MFA w formie SMS lub aplikacji – TOTP jest podatne na prompt bombing i real-time phishing (adversary-in-the-middle).
- Kradzież poświadczeń (credential stuffing + infostealer malware) – RedLine, LummaC2, Vidar i inne malware wyciągają z przeglądarek i menadżerów haseł dziesiątki tysięcy credentiali dziennie. W 2025–2026 na HaveIBeenPwned regularnie lądują zrzuty po 100–900 mln rekordów.
- Nadużycie kont uprzywilejowanych – skradzione poświadczenie administratora chmury (Azure, AWS, GCP) albo GitHub PAT / OAuth token daje atakującemu klucze do całego królestwa. Tokeny API nie wygasają, nie wymagają MFA i często są zapisywane w kodzie / CI/CD.
- Przejmowanie tokenów w chmurze – 2024–2025 pokazało, że najwięcej incydentów zaczyna się od skradzionego refresh tokena lub klucza service account. Hasło do konsoli to już tylko wisienka na torcie.
Ważne: hasło jest phishable, reusable, guessable i leakable. W 2026 roku atakujący nie muszą go łamać – wystarczy je kupić albo przechwycić.
Czym są passkeys i dlaczego Google, Apple i Microsoft już na nie postawiły wszystko?
Passkeys to para kluczy kryptograficznych oparta na standardzie FIDO2 / WebAuthn. Działa to tak:
- Podczas rejestracji Twoje urządzenie (telefon, laptop) generuje parę kluczy: prywatny zostaje bezpiecznie na urządzeniu (lub synchronizowany przez iCloud / Google Password Manager / Microsoft), publiczny trafia do serwisu.
- Przy logowaniu serwis wysyła wyzwanie (challenge). Twoje urządzenie podpisuje je kluczem prywatnym i odsyła podpis – bez przesyłania żadnego sekretu.
- Klucz prywatny nigdy nie opuszcza Twojego urządzenia i jest powiązany z konkretną domeną (origin-bound).
Dlatego passkeys są phishing-resistant – nawet jeśli dasz się nabrać na idealny fake-login.microsoft.com, Twój passkey po prostu nie zadziała, bo domena się nie zgadza.
Efekt?
- Brak sekretu do wykradzenia
- Brak możliwości replay attack
- Wbudowane MFA (biometria / PIN + posiadanie urządzenia)
Google, Apple i Microsoft wdrożyły passkeys już w 2022–2023 i od 2025/2026 agresywnie je promują jako domyślną metodę logowania:
- Google – passkeys w Androidzie i Chrome, synchronizacja przez Google Password Manager
- Apple – iCloud Keychain od iOS 16 / macOS Ventura, najwygodniejsza synchronizacja w ekosystemie
- Microsoft – od maja 2025 nowe konta Entra ID / Microsoft Account domyślnie bez hasła, passkeys w Authenticatorze
GitHub, Facebook (Meta), PayPal, eBay, Amazon, Roblox i setki innych już wspierają. W 2026 ponad połowa top 1000 stron internetowych ma passkeys.
Co zrobić DZIŚ – checklista dla zwykłego użytkownika (5 kroków na 2026)
- Włącz passkeys tam, gdzie możesz:
Google: konto → Bezpieczeństwo → Passkeys
Apple: Ustawienia → Hasła → Utwórz passkey
Microsoft: account.microsoft.com → Bezpieczeństwo → Zaawansowane → Passkeys
GitHub: Settings → Password and authentication → Passkeys
Facebook / Meta: Ustawienia → Centrum kont → Hasła i bezpieczeństwo → Passkeys - Sprawdź wycieki na HaveIBeenPwned.com
Wpisz wszystkie swoje najważniejsze adresy e-mail. Jeśli coś wyciekło – natychmiast zmień hasło i włącz passkey. - Usuń stare, nieużywane konta
Każde martwe konto to potencjalna furtka. Użyj JustDelete.me albo ręcznie kasuj profile na forach, sklepach, starych SaaS-ach. - Włącz phishing-resistant MFA wszędzie tam, gdzie passkeys jeszcze nie ma
Hardware security key (YubiKey, Titan) albo authenticator app (Authy / Microsoft Authenticator) zamiast SMS. - Używaj menadżera haseł z passkeys (1Password, Bitwarden, Dashlane)
Jeśli masz urządzenia z różnych ekosystemów – synchronizacja między Apple ↔ Google ↔ Windows jest już bardzo dobra.
Zrób to w ten weekend. Zajmie Ci 2–3 godziny, a zaoszczędzisz miesiące stresu.
Dla firm – co grozi za brak działania w 2026?
Rok 2026 to już pełna rozliczalność. NIS2 (w Polsce ustawa o krajowym systemie cyberbezpieczeństwa) weszła w życie i organy (CSIRT GOV, UODO, KNF, CERT Polska) nie patrzą już na „polityki i procedury na papierze”. Liczą się realne działania.
Brak phishing-resistant MFA (czyli passkeys lub FIDO2 hardware) dla kont uprzywilejowanych i brak kontroli nad tokenami API = niespełnienie art. 21 NIS2 → kary do 10 mln € lub 2% globalnego obrotu.
Przykłady z 2025/2026:
- firmy tracą setki tysięcy euro na ransom after credential stuffing, bo nie miały enforced passkeys na Entra ID
- organy nadzoru pytają podczas kontroli: „Pokażcie logi użycia passkeys / FIDO2 dla grupy Domain Admins i service accounts”
- brak odpowiedzi = raport do zarządu i osobista odpowiedzialność członków zarządu (art. 20 NIS2)
Jeśli w 2026 nadal pozwalasz na logowanie samym hasłem + TOTP na kontach administracyjnych – to nie jest już „ryzyko biznesowe”. To jest świadome narażanie firmy na karę i utratę reputacji.
Hasła kupuje się za 5 dolarów. Passkeys nie da się kupić. Wybór w 2026 jest prosty: albo idziesz w przyszłość z Google, Apple i Microsoftem, albo zostajesz w 2015 roku – i płacisz za to prawdziwymi pieniędzmi.
A Ty – ile kont już zabezpieczyłeś passkeys? Daj znać w komentarzu 😉
