Biztonság 2026. április 25. · Milan Cák · 8 min čítania

Kétfaktoros hitelesítés (2FA): miért és hogyan vezesse be a vállalatnál

Gyakorlati útmutató a 2FA vállalati bevezetéséhez — módszerek összehasonlítása (TOTP, SMS, push, hardver token, passkey), bevezetési folyamat, tipikus hibák, szabályozás.

Súčasť série: Vállalati adatok kiberbiztonsága: teljes útmutató magyarországi vállalkozások számára

A legegyszerűbb, legolcsóbb és leghatékonyabb biztonsági befektetés 2026-ban nem az AI fenyegetésfelderítés, nem is a next-gen tűzfal. Ez a 2FA (kétfaktoros hitelesítés). A Microsoft szerint a 2FA 99,9%-ban blokkolja az automatizált fiókkompromittálásokat, a Google pedig közzétette, hogy a passkey 100%-ban blokkolja az adathalászatot (amit a jelszó+SMS kombináció soha nem ér el).

Ez a cikk végigvezeti a vállalatot a gyakorlati döntéseken: melyik 2FA-módszert válassza, hogyan vezesse be káosz nélkül, és melyek a tipikus hibák. A biztonság tágabb kontextusáért lásd a Vállalati adatok kiberbiztonságáról szóló pillar cikket.

Miért 2FA: a kockázat matematikája

Az egyfaktoros hitelesítés (csak jelszó) 2026-ban három okból vall kudarcot:

A jelszavak adatbázisszivárgásokban kerülnek ki — a Have I Been Pwned 14+ milliárd kompromittált fiókot tart nyilván. Annak valószínűsége, hogy a jelszava már valahol kiszivárgott, magas.
A jelszavakat adathalász támadásokkal lopják el — az AI által generált adathalász e-mailek 2026-ban szinte felismerhetetlenek.
A jelszavakat kitalálják — a credential stuffing támadások reggeli rendszeres szolgáltatásokra próbálnak ki millió kombinációt. 2FA nélkül egyetlen helyes kombináció elegendő.

A 2FA egy második faktort ad hozzá, amelyet a támadó a jelszóval együtt sem szerez meg. Még a vállalat jelszóadatbázisának teljes kiszivárgása is elméleti fenyegetés marad 2FA esetén — a támadó nem kapja meg a második faktort.

Három faktorkategória

A biztonsági elmélet három hitelesítési faktorkategóriát definiál:

Kategória	Példák
Valami, amit tud	Jelszó, PIN, biztonsági kérdés
Valami, amivel rendelkezik	Telefon hitelesítővel, hardver token, USB-kulcs
Valami, ami ön	Ujjlenyomat, arcfelismerés (biometria)

A valódi 2FA két faktort kombinál különböző kategóriákból — tipikusan jelszó (1) + telefon/token (2). Ha a rendszer „jelszót és biztonsági kérdést” kér, az NEM 2FA — ugyanabból a kategóriából két faktor.

2FA-módszerek összehasonlítása

Passkey (FIDO2 / WebAuthn) — legerősebb

A passkey aszimmetrikus kriptográfián alapuló jelszó nélküli hitelesítés. A jelszót kriptográfiai kulcs váltja fel, amely az eszközön (telefon, számítógép, hardver token) van tárolva.

Előnyök:

Adathalászat ellen védett — a kulcs egy adott domainhez van kötve, adathalász támadással nem lehet „kiemelni” vagy elfogni
Nincs megjegyezni való jelszó
Legjobb UX — egy kattintás / ujjlenyomat

Hátrányok:

Modern eszközt és OS-t igényel (iOS 16+, macOS Ventura+, Windows 10+, Android 9+)
Egyes örökölt rendszerek még nem támogatják

Ajánlás: első választás adminisztrátorok és kritikus fiókok számára 2026-ban.

Hardver token (YubiKey, Titan Key)

Fizikai USB / NFC kulcs. Bejelentkezéshez az eszközbe csatlakoztatja vagy hozzáérinti.

Előnyök:

Adathalászat ellen védett (ugyanaz az elv, mint a passkey)
Akkumulátor / hálózat nélkül is működik
Robusztus (vízálló, ütésálló)

Hátrányok:

Ár: 25–80 EUR/token
Elvesztés = helyreállítási eljárás
Egyes szolgáltatások nem támogatják

Ajánlás: magas jogosultságú felhasználóknak (root admin, pénzügy, IT). Tartalék token kötelező.

TOTP alkalmazáson keresztül

A TOTP (Time-based One-Time Password) megosztott titok alapján 30 másodpercenként 6 jegyű kódot generál. Leghíresebb alkalmazások:

Microsoft Authenticator (legjobb M365-integráció)
Google Authenticator (legegyszerűbb)
1Password (integrált jelszókezelővel — kódok és jelszavak egy helyen)
Authy (felhőszinkronizálás, több eszköz)

Előnyök:

Ingyenes
Offline működik (nincs szükség hálózatra)
Széles körű szolgáltatástámogatás

Hátrányok:

Okostelefont igényel
Telefon elvesztése / cseréje esetén a helyreállítás gondot okoz — mentési titkos kódok kötelezőek

Ajánlás: alapértelmezett választás minden alkalmazott számára, ahol passkey nem lehetséges.

Push értesítés

Az alkalmazás (Microsoft Authenticator, Duo) push értesítést küld a telefonra, a felhasználó egy kattintással hagyja jóvá.

Előnyök:

Legjobb UX
Számmegfeleltetés — MFA-fáradtság elleni védelem

Hátrányok:

Hálózatot igényel
MFA-fáradtság támadás — a támadó ismételten indítja a bejelentkezést, a felhasználó végül véletlenül rákattint a „Jóváhagyás” gombra. (A „számmegfeleltetéssel” enyhíthető — a felhasználónak be kell írnia az eredeti képernyőn megjelenő számot.)

Ajánlás: jó vállalati telepítéseknél Microsoft Authenticatorral (kötelező számmegfeleltetés 2026-ban).

SMS OTP — ELAVULT

6 jegyű kódot tartalmazó SMS. A legegyszerűbb módszer, de a leggyengébb.

Gyengeségek:

SIM-csere támadás — a támadó meggyőzi a mobilszolgáltatót, hogy a számát egy másik SIM-re vigye át, megkapja az összes SMS-t
SS7 protokoll sebezhetőségei lehetővé teszik az SMS-ek lehallgatását
Az SMS megérkezik akkor is, ha a telefon ki van kapcsolva / nincs térerő

A NIST (az amerikai szövetségi szabvány) 2017 óta javasolja az SMS mellőzését 2FA-hoz. 2026-ban csak tartalék megoldás okostelefonnal nem rendelkező felhasználók számára.

Ajánlás: mielőbb migráljon SMS-ről TOTP-re / passkey-re.

2FA bevezetési terv a vállalatnál

1. fázis: Leltár (1 hét)

Az összes fiók és szolgáltatás listája, amellyel az alkalmazottak rendelkeznek:

E-mail (Microsoft 365, Google Workspace)
ERP / CRM (Modulario, SAP, Salesforce stb.)
Bankolás (vállalati számla)
Felhőszolgáltatások (AWS, Azure, GitHub stb.)
SaaS alkalmazások (HR, marketingeszközök stb.)
VPN és távelérés

Azonosítsa, melyik ezek közül támogatja a 2FA-t és milyen formákban.

2. fázis: Módszer kiválasztása kategóriánként

Osztályozza a fiókokat kockázat szerint:

Kategória	Példák	2FA-módszer
Magas kockázat	Admin fiókok, bankolás, pénzügy, HR	Passkey vagy hardver token
Közepes kockázat	E-mail, ERP, fontos SaaS	TOTP vagy passkey
Alacsony kockázat	Marketingeszközök, dokumentáció	TOTP
Nyilvános	Nyilvánosan látható fiókok (LinkedIn)	TOTP

3. fázis: Pilot (2 hét)

Először az IT-csapat és a menedzsment. Azonosítsa a súrlódási pontokat (melyik szolgáltatásnak van rossz UX), készítsen GYIK-et és runbookot a tipikus problémákhoz.

4. fázis: Tréning (1 hét)

A széles körű bevezetés előtt tréning minden alkalmazottnak:

Miért 2FA (motiváció)
Hogyan kell telepíteni a hitelesítőt (lépésről lépésre)
Mentési kódok (biztonságos tárolás)
Mit kell tenni telefon elvesztésekor (helyreállítás)

5. fázis: Széles körű bevezetés (2–4 hét)

Fokozatosan, nem mindent egyszerre. Kezdje opt-in-nel (az alkalmazott önként kapcsolja be), 2 hét után váltson kötelezőre (kikényszerített, 2FA nélküli bejelentkezés blokkolva).

6. fázis: Helyreállítás és határesetek (folyamatosan)

Állítson be folyamatokat a következőkhöz:

Telefon elvesztése — az IT-support az azonosság ellenőrzése után új mentési kódokat generál
Új alkalmazott — az onboarding az 1. lépésként tartalmazza a 2FA-regisztrációt
Alkalmazott távozása — a 2FA tokeneket a fiókkal együtt deaktiválják
Utazás — a TOTP offline működik, a passkey szinkronizálást igényelhet

Tipikus hibák a 2FA bevezetésekor

1. hiba: A mentési kódok nem kerülnek rögzítésre

A 2FA bekapcsolásakor a legtöbb szolgáltatás 8–10 egyszer használható mentési kódot ad. Ha a felhasználó nem menti el ezeket, telefon elvesztésekor elveszíti a hozzáférést. Irányelvek: a mentési kódokat a jelszókezelőben tárolja (ugyanabban a bejegyzésben, mint a 2FA titok).

2. hiba: Egyetlen 2FA eszköz

Ha a felhasználónak csak egy telefonon van 2FA és elveszíti, bajban van. Megoldás: több eszközös szinkronizálás (1Password, Authy, Microsoft Authenticator), mentési kódok, vagy tartalék hardver token.

3. hiba: SMS elsődleges faktorként

2026-ban az SMS elavult. Migráljon TOTP-re vagy passkey-re. Ha az SMS tartalékként marad, kombinálja egy másik faktorral.

4. hiba: SSO nélkül

Single Sign-On (SSO) nélkül minden alkalmazottnak 20+ szolgáltatáshoz kell egyenként kezelnie a 2FA-t. Súrlódás → lemondás. SSO-val (Azure AD, Google Workspace, Okta) a 2FA az SSO-szolgáltató szintjén van, a többi alkalmazás automatikusan védett.

5. hiba: Nincs incidens-folyamat

Mi a teendő, ha a támadó megkerüli a 2FA-t (ritka, de lehetséges SIM-csere, IT-support social engineering vagy MFA-fáradtság révén)? Előkészített folyamat nélkül az észlelés és a helyreállítás sokáig tart. Részét képezi az incidens-reagálási runbooknak.

2FA a Modularioban

A Modulario támogatja:

TOTP-t (kompatibilis minden hitelesítő alkalmazással)
Passkey / WebAuthn-t (2025 óta)
Hardver tokeneket WebAuthn szabvány révén
SSO-t SAML 2.0 / OIDC-n keresztül (Azure AD, Google Workspace, Okta, Keycloak, Auth0)
2FA kikényszerítését adminisztrátori szinten — kötelező mindenkinek vagy szelektíven szerepkör szerint
Helyreállítási kódokat biztonságos tárolással
Audit logt minden 2FA regisztrációs, sikeres és sikertelen eseményről

A beállításokért lásd a biztonsági dokumentációt. A kibervédelmi tágabb kontextusáért lásd a Vállalati adatok kiberbiztonságáról szóló pillar cikket.

Gyakran ismételt kérdések

Melyik kétfaktoros hitelesítési módszer a legbiztonságosabb? Preferencia szerinti sorrendben: (1) Passkey / FIDO2 / WebAuthn — adathalászat ellen is védett, legerősebb védelem, (2) Hardver token (YubiKey, Titan Key), (3) TOTP alkalmazáson keresztül (Google Authenticator, Microsoft Authenticator, 1Password), (4) Push értesítés (Microsoft Authenticator, Duo) — vigyázzon az MFA-fáradtság támadásokra, (5) SMS OTP — a leggyengébb módszer, SIM-csere támadásra sebezhető. Vállalatoknál 2026-ban a passkey vagy hardver token az adminisztrátorok számára standard, a többi felhasználónak TOTP, az SMS-t ajánlott leváltani.

Mi a különbség a 2FA és az MFA között? A 2FA (Two-Factor Authentication) = kétfaktoros hitelesítés, pontosan 2 faktort használ. Az MFA (Multi-Factor Authentication) = többfaktoros, 2 vagy több faktort használ. A gyakorlatban a fogalmakat gyakran felcserélik. Három faktorkategória: (1) valami, amit tud (jelszó), (2) valami, amivel rendelkezik (telefon, hardver token), (3) valami, ami ön (biometria — ujjlenyomat, arc). A valódi MFA 2–3 különböző kategóriát kombinál.

Kötelező a 2FA az NIS2 vagy a GDPR szerint? A GDPR nem ír elő kifejezetten 2FA-t, de a 32. cikk „megfelelő technikai és szervezési intézkedéseket” ír elő. Az NIS2 hatálya alá tartozó vállalatok számára az erős hitelesítési intézkedések kötelezőek a kockázatkezelési keretrendszerben. Adminisztrátori fiókokhoz és személyes adatokhoz való hozzáféréshez a 2FA 2026-ban de facto kötelező — enélkül a felügyeleti hatóság nem ismeri el az „intézkedések megfelelőségét”, a biztosítók pedig nem kötnek kibervédelmi biztosítást.

Milan Cák

Modulario

📚 Pillar článok

Vállalati adatok kiberbiztonsága: teljes útmutató magyarországi vállalkozások számára

Praktikus kiberbiztonsági útmutató KKV-knak Magyarországon — vírusok, ransomware, adathalászat, 2FA, SSL, VPN, biztonsági mentések és incidensre való reagálás. Konkrét lépések, nem elvont elmélet.

Prečítať komplet →

Často kladené otázky

Melyik kétfaktoros hitelesítési módszer a legbiztonságosabb?

Preferencia szerinti sorrendben: (1) Passkey / FIDO2 / WebAuthn — adathalászat ellen is védett, legerősebb védelem, (2) Hardver token (YubiKey, Titan Key), (3) TOTP alkalmazáson keresztül (Google Authenticator, Microsoft Authenticator, 1Password), (4) Push értesítés (Microsoft Authenticator, Duo) — vigyázzon az MFA-fáradtság támadásokra, (5) SMS OTP — a leggyengébb módszer, SIM-csere támadásra sebezhető. Vállalatoknál 2026-ban a passkey vagy hardver token az adminisztrátorok számára standard, a többi felhasználónak TOTP, az SMS-t ajánlott leváltani.

Mi a különbség a 2FA és az MFA között?

A 2FA (Two-Factor Authentication) = kétfaktoros hitelesítés, pontosan 2 faktort használ. Az MFA (Multi-Factor Authentication) = többfaktoros, 2 vagy több faktort használ. A gyakorlatban a fogalmakat gyakran felcserélik. Három faktorkategória: (1) valami, amit tud (jelszó), (2) valami, amivel rendelkezik (telefon, hardver token), (3) valami, ami ön (biometria — ujjlenyomat, arc). A valódi MFA 2–3 különböző kategóriát kombinál.

Kötelező a 2FA az NIS2 vagy a GDPR szerint?

A GDPR nem ír elő kifejezetten 2FA-t, de a 32. cikk 'megfelelő technikai és szervezési intézkedéseket' ír elő. Az NIS2 hatálya alá tartozó vállalatok számára (a 2023. évi LXIII. törvény alapján Magyarországon) az erős hitelesítési intézkedések kötelezőek a kockázatkezelési keretrendszerben. Adminisztrátori fiókokhoz és személyes adatokhoz való hozzáféréshez a 2FA 2026-ban de facto kötelező — enélkül a felügyeleti hatóság nem ismeri el az 'intézkedések megfelelőségét', a biztosítók pedig nem kötnek kibervédelmi biztosítást.

Kapcsolódó cikkek

Biztonság

Internetes biztonság vállalkozásoknak: gyakorlati útmutató 2026-ra

Hogyan védje meg vállalkozását az interneten 2026-ban. Adathalászat, gyanús linkek, nyilvános Wi-Fi, közösségi média, biztonságos böngészés. Konkrét szabályok alkalmazottaknak.

9 min čítania

Biztonság

Vállalati adatok kiberbiztonsága: teljes útmutató magyarországi vállalkozások számára

24 min čítania

Biztonság

SSL tanúsítvány: teljes útmutató vállalati weboldalhoz

SSL/TLS tanúsítvány vállalati weboldalhoz — típusok (DV, OV, EV, Wildcard), kiválasztás, telepítés, lejárat figyelése, Let's Encrypt vs. kereskedelmi CA.

7 min čítania