Wygląd ciemnyWygląd jasny
the:protocol oferty pracy
the:blog / Technologia / Fakty i mity bezpieczeństwa danych. Jakie zabezpieczenia dziś już nie zadziałają?
cyberbezpieczeństwofakty i mityKamil Porembiński

Fakty i mity bezpieczeństwa danych. Jakie zabezpieczenia dziś już nie zadziałają?

https://cms.pracuj.pl/content/uploads/2026/02/bio.jpg
Kamil Porembiński
  • 22 kwietnia 2026 22 kwi 26
  • 3 min.  czytania
  • ocena:  0 ( 0 głosów0 gł. )
Często nasze poczucie bezpieczeństwa opiera się na mitach, które kiedyś były prawdą, ale dziś dają nam jedynie złudny komfort. Poleganie na „kłódce” w przeglądarce czy wiara w magiczną moc trybu incognito to prosta droga do stania się kolejną statystyką w raporcie o wyciekach danych. Dlatego też wraz z Kamilem Porembińskim rozbijamy na czynniki pierwsze najpopularniejsze mity dotyczące prywatności i ochrony w sieci, konfrontując je z nierzadko brutalną rzeczywistością.
https://cms.pracuj.pl/content/uploads/2026/04/Fakty-i-mity-bezpieczenstwa-danych-1024x577.jpg

Mit: Uwierzytelnianie dwuskładnikowe jest wystarczającym zabezpieczeniem

Ten mit narodził się w okresie masowego wprowadzania kodów SMS i aplikacji typu Authenticator jako „ostatecznej broni” przeciwko kradzieży haseł. Przez lata wpajano nam, że nawet jeśli ktoś pozna nasze hasło, bez fizycznego dostępu do telefonu, to nic nie zdziała.

Prawda jest jednak brutalna: dwuskładnikowe uwierzytelnianie to nie jest tarcza nie do przebicia, a jedynie kolejna przeszkoda. To jeden z wielu elementów, który nas zabezpiecza. Dziś wiemy już, że np. współczesne ataki typu adversary-in-the-middle (AiTM) pozwalają hakerom tworzyć fałszywe strony logowania, które w czasie rzeczywistym przechwytują nie tylko hasło, ale i token. Co więcej, tzw. MFA Fatigue (bombardowanie użytkownika dziesiątkami powiadomień „czy to Ty się logujesz?” aż dla świętego spokoju kliknie „tak”) stało się skuteczną metodą łamania zabezpieczeń nawet w wielkich korporacjach. Niektórzy nawet świadomie z tej opcji rezygnują, skarżąc się na zbyt częste przepisywanie kodów.

 

Kamil Porembiński

Większość uwierzytelniania dwuskładnikowego jest źle wdrożona. To tak, jak pasy bezpieczeństwa, które trzeba umieć zapinać. Zimą to widać, że ludzie w samochodzie jeżdżą w kurtkach, przez co pas bezpieczeństwa nie zadziała. Bo pas bezpieczeństwa powinien przylegać na biodrach kolcowych. A jeżeli jest kurtka, to ona odstaje. Co się dzieje w razie wypadku? Lecisz do przodu, wybucha poduszka powietrzna, która rozwala Ci twarz, a pas bezpieczeństwa, zamiast cię trzymać, musi najpierw ścisnąć poduszkę, potem kurtkę i dopiero potem cię przyhamować. Dlatego wsiadając do samochodu, zdejmij kurtkę, zapnij pas.

Zdecydowanie lepszym zabezpieczeniem niż kody są tzw. klucze sprzętowe, które nie są podatne na phishing, np. https://kamilporembinski.pl/yubikey-5c-nfc-usbc

Znam przypadek agencji, do której się włamano, bo miała źle wdrożone dwuskładnikowe uwierzytelnianie. Ale to i tak nie załatwia wszystkiego, bo jest dużo elementów, które trzeba zrobić. Dwuskładnikowe zabezpieczenie nie chroni przed wieloma elementami. To jest jeden z elementów zabezpieczenia. To jest skomplikowane, dlatego są szkolenia i audyty.

Szkoliłem kiedyś 500 osób. Miało to być zaawansowane szkolenie dla programistów, więc zacząłem od czegoś zaawansowanego, ale widzę po minach tych programistów, że lepiej zejść do podstaw. I tam była właśnie rozmowa na temat dwuskładnikowego uwierzytelnienia. Prezes mówi, że trzeba włączyć, to dwuskładnikowe uwierzytelnianie. Na co kierowniczka mówi: ale my to mamy włączone na naszych mailach. Owszem, mieli włączone jako SMSy przychodzące z kodami. I co się okazało w trakcie szkolenia? Nie dość, że nie wiedzieli, że mają włączone, to większość ludzi tą opcję wyłączało, bo ich denerwowało przepisywanie kodów. Więc IT wymyśliło i wdrożyło, kazało zrobić, po czym pracownicy to wyłączyli.

 

Mit: Nie należy podłączać się do publicznego WiFi

Strach przed publicznymi sieciami w kawiarniach czy na lotniskach pochodzi z czasów, gdy większość stron internetowych korzystała z protokołu HTTP, a dane przesyłane były otwartym tekstem. Działo się to ponad 10 lat temu, dlatego też dziś ten lęk jest w dużej mierze nieuzasadniony.

Dzięki powszechnemu wdrożeniu protokołu HTTPS (TLS/SSL), dane między Twoją przeglądarką a serwerem są szyfrowane end-to-end.  Według Google Transparency Report (2024), ponad 95% stron internetowych odwiedzanych w przeglądarce Chrome (na wszystkich platformach) jest ładowanych przez protokół HTTPS. W systemach Android i Windows wskaźnik ten wynosi od 95% do 99%.

Źródło: https://transparencyreport.google.com/https/overview

Nawet jeśli haker kontroluje router, widzi jedynie bełkot, a nie Twoje wiadomości czy numery kart. Dodatkowo nowoczesne systemy operacyjne używają randomizacji adresów MAC. Choć korzystanie z publicznego Wi-Fi do aktualizacji oprogramowania układowego banku nadal wymaga ostrożności, to dla przeciętnego użytkownika przeglądającego sieć jest ono obecnie bezpieczniejsze niż kiedykolwiek.

 

Kamil Porembiński

Do dzisiaj mówi się, że nie wolno podłączać się do publicznego Wi-Fi. A to od 2015 roku już jest mit. Od tego czasu wiele się zmieniło w internecie. I do 2015 roku nie wolno było tego robić, ale jesteśmy w 2026 roku. A na szkoleniach z cyberbezpieczeństwa dalej informatycy tak mówią. Powtarzają: nie podłączajcie się do publicznego Wi-Fi, nie logujcie się do banku. Ba, to samo widać, jak wejdziecie sobie na stronę banków. To jest mitem. A dlaczego tak jest? Bo na stronach banków o cyberbezpieczeństwie pisze copywriter, który często powiela to, co kiedyś, gdzieś przeczytał.

 

Mit: Tryb Incognito/Prywatny zapewnia anonimowość i chroni przed śledzeniem

To jeden z najbardziej szkodliwych mitów, wynikający częściowo z niefortunnego nazewnictwa oraz ikon, które sugerują działanie w trybie „szpiegowskim”. Niestety - to tak nie działa.

Użytkownicy często wierzą, że po otwarciu okna incognito stają się niewidzialni dla dostawców internetu (ISP), pracodawców czy witryn, które odwiedzają. Wpisują więc tam dane lub wyszukują hasła, które normalnie nie wpisaliby pod swoim nazwiskiem.

W badaniu University of Chicago i Leibniz University Hannover  sprawdzono, co ludzie myślą o trybie prywatnym. Wyniki wskazują:

  • 40% użytkowników wierzyło, że tryb incognito pozwala ukryć ich lokalizację przed odwiedzanymi stronami.
  • 33% respondentów było przekonanych, że tryb ten chroni ich przed złośliwym oprogramowaniem.
  • 22% osób sądziło, że tryb prywatny ukrywa ich aktywność przed pracodawcą lub operatorem sieci.
  • 27% użytkowników wierzyło, że tryb ten chroni ich przed atakami hakerów.

Jaka jest rzeczywistość? Tryb prywatny ma tylko jedno zadanie: nie zapisywać danych na Twoim lokalnym urządzeniu. Po zamknięciu okna przeglądarka usuwa historię, ciasteczka i dane formularzy. Jednak Twoja aktywność pozostaje w pełni widoczna dla:

  • Twojego dostawcy internetu (ISP);
  • Administratora sieci w pracy lub szkole;
  • Samych stron internetowych. Serwisy takie jak Google czy Facebook nadal mogą Cię identyfikować poprzez „browser fingerprinting” oraz Twój adres IP.

W dużym uogólnieniu można więc przyjąć, że tryb incognito chroni Cię przed współlokatorami, którzy mogliby zajrzeć w Twoją historię przeglądania, ale w starciu z inwigilacją sieciową czy profilowaniem reklamowym nie oferuje praktycznie żadnej ochrony.

Podsumowanie

Wiele popularnych przekonań na temat cyberbezpieczeństwa, dają użytkownikom jedynie złudne poczucie ochrony. O ile strach przed publicznym Wi-Fi jest dziś w dużej mierze nieuzasadniony, o tyle przekonanie o niezawodności uwierzytelniania dwuskładnikowego wynika z niewiedzy i uproszczeń. Skuteczna ochrona wymaga więc odejścia od przestarzałych schematów na rzecz świadomego korzystania z nowoczesnych narzędzi i audytów. Wymaga także szkoleń, edukacji, aktualizowania swojej wiedzy i wdrażania coraz to nowych i sprawdzonych rozwiązań. Warto, bo dane stały się niezwykle cenną walutą.

 

Źródło:

Your Secrets Are Safe With Me: Misconceptions about Private Browsing Mode”, raport naukowy zaprezentowany na sympozjum USENIX.

https://cms.pracuj.pl/content/uploads/2026/02/bio.jpg
Kamil PorembińskiStrateg, architekt IT, specjalizujący się w cyberbezpieczeństwie, który o sobie mówi „upierdliwy, ale potrzebny”. Od lat pomaga firmom w ulepszaniu ich biznesu, dzięki technologii - bezpieczna sztuczna inteligencja, automatyzacje oraz infrastruktura IT.
Sprawdź również
TRENDY W IT
wszystko
Backend czy Frontend – którą ścieżkę wybrać? Porównanie zarobków, technologii i progu wejścia
Dawid Dystrych
Load balancing – jak działa równoważenie obciążenia?
Dawid Dystrych
Kubernetes vs Docker Swarm – które wybrać w 2026?
Dawid Dystrych
REKRUTACJE W IT
wszystko
EVP w IT – jak stworzyć ofertę, która wyróżnia firmę?
Dawid Dystrych
Bezpieczeństwo zatrudnienia - co może pójść nie tak? Case study.
Kamil Porembiński
Rekrutacja seniorów IT – jak przyciągnąć doświadczonych ekspertów?
Aleksandra Sudnik
Szukaj ofert w miastach
Warszawa
Kraków
Poznań
Wrocław
Łódź
Bydgoszcz
Gdańsk
Katowice
Lublin
Szczecin
Praca w specjalizacjach
backend
devOps
frontend
fullstack
game dev
mobile
embedded
architecture
QA/testing
security
AI/ML
big data/data science
helpdesk
IT admin
agile
product management
project management
UX/UI
business analytics
SAP & ERP
system analytics
Praca w technologii
Analytics
Python
Cyberbezpieczeństwo
Java
Bazy danych
Cisco
C++
JavaScript
SQL
Business Intelligence
Delphi
Wordpress
Testowanie aplikacji
C#
PHP
Praca na stanowisku
Grafik komputerowy
Tester gier
Programista
Tester oprogramowania
Frontend Developer
Backend Developer
Data Scientist
Tester manualny
Tester
Tester aplikacji
Programista Java
Web Developer
Scrum Master
PO/PM
Analityk
SPRAWDŹ
THE:PROTOCOL
the:protocol © 2026 Grupa Pracuj S.A.