MFA és modern biztonság:
miért NEM elég a jelszó?

„Jó jelszavam van: Movar2024! Ki tudná ezt kitalálni?"

Ezt mondta egy ügyfél 2025 októberében.

2 héttel később: phishing email → megadta a jelszót → támadó átvette az email-fiókot → 2,8M Ft-os hamis számla küldése ügyfeleknek.

A probléma NEM a jelszó volt rossz.

A probléma: NEM VOLT MFA (kétfaktoros hitelesítés).

---

Ebben a cikkben megmutatom:

• Mi az MFA PONTOSAN? (Egyszerűen)
• Miért NEM elég a jelszó? (Valós támadási példák)
• Hogyan működik az MFA? (Lépésről lépésre)
• Milyen MFA típusok vannak?
• Mennyibe kerül? (És megéri-e?)
• Hogyan vezessük be? (Gyakorlati útmutató)

Mi az MFA PONTOSAN?

MFA = Multi-Factor Authentication

Magyarul: Többtényezős hitelesítés (vagy népszerűbb nevén: kétfaktoros hitelesítés)

Egyszerűen: Bejelentkezéshez NEM ELÉG a jelszó. Kell még valami:

1. Jelszó (amit TUDSZ)
2. + Telefon (amit BIRTOKOLSZ)

Példa (mindennapi élet):

Bankkártya (MFA):

• Kártya (amit birtokolsz) + PIN kód (amit tudsz)
• Ha ellopják a kártyád → NEM tudnak fizetni (nincs PIN)
• Ha ellopják a PIN-t → NEM tudnak fizetni (nincs kártya)

Email MFA-val:

• Jelszó (amit tudsz) + Kód a telefonodon (amit birtokolsz)
• Ha ellopják a jelszavad → NEM tudnak belépni (nincs telefonod)

Miért NEM elég a jelszó?

1. Phishing (csaló email)

Támadás menete:

1. Email érkezik: „Microsoft Security Alert! Jelentkezz be itt: microsоft-security.com"
2. Felhasználó rákattint → hamis oldal (kinézetre pont úgy néz ki, mint a Microsoft)
3. Beírja: email + jelszó
4. Támadó megkapja → 5 percen belül belép a VALÓDI Microsoft fiókba

MFA nélkül:

• ✅ Támadó belép
• ✅ Átveszi az emailt
• ✅ Hamis számlák küldése
• Kár: 2-5M Ft

MFA-val:

• Támadó megkapja a jelszót
• Próbál belépni → „Add meg a kódot a telefonodról"
• ❌ Nincs telefon → NEM TUD BELÉPNI
• Kár: 0 Ft

2. Jelszó adatbázis szivárgás

Mi történik?

• Hackerek feltörik egy webshop adatbázisát (pl. régi WordPress oldal)
• Letöltik: 50.000 email + jelszó páros
• Közzéteszik a dark web-en

Probléma:

• Te használod ugyanazt a jelszót (pl. „Movar2024!") webshopban ÉS céges emailben
• Támadó kipróbálja: ugyanaz a jelszó működik-e céges emailnél?
• Működik → belép

MFA-val:

• Jelszó működik, de kell még kód a telefonról
• ❌ NEM TUD BELÉPNI

3. Keylogger (billentyűzet-figyelő vírus)

Mi történik?

• Fertőzött email melléklet → vírus települ
• Keylogger figyeli: minden leütött billentyű
• Email bejelentkezés → „j.kovacs@ceg.hu" + „Movar2024!" → támadó megkapja

MFA-val:

• Támadó megkapja a jelszót
• De a telefonos kód 30 másodpercenként változik
• ❌ NEM TUD BELÉPNI

Az MFA tehát véd a jelszólopás-alapú támadások ellen – de a jelszónak is rendben kell lennie. Erős, egyedi jelszavak + jelszókezelő alkalmazás nélkül az MFA csupán egy extra réteg egy egyébként gyenge alapra. → Jelszókezelés a gyakorlatban – útmutató cégvezetőknek

Hogyan működik az MFA? (Lépésről lépésre)

Beállítás (egyszeri, 5 perc):

1. Microsoft 365 admin panel → Security → MFA bekapcsolás
2. Felhasználó első bejelentkezés → „Állítsd be az MFA-t!"
3. Microsoft Authenticator app letöltése (Android/iOS)
4. QR kód beolvasása (összeköti a fiókot az app-pal)
5. ✅ Kész

Napi használat:

1. Bejelentkezés:

• Email + jelszó → ENTER

2. MFA kérés:

• „Erősítsd meg a bejelentkezést az Authenticator app-ban"

3. Telefon:

• Értesítés: „Bejelentkezési kísérlet. Te voltál?"
• Rákattintasz: „Jóváhagyom"

4. Belépés:

• ✅ Beléptél

Idő: ~5-10 másodperc extra (jelszó után)

„De ez lassú!" - válasz:

Első bejelentkezés után (gépen):

• „Emlékezz erre a gépre 90 napig" → ✅
• Következő 90 napban: NEM kér MFA-t (ugyanaz a gép)
• Új gép/helyszín/böngésző → MFA kérés

Eredmény: Hétköznapi munka során RITKÁN kell MFA-t használni.

Milyen MFA típusok vannak?

1. Authenticator App (LEGJOBB)

Példák:

• Microsoft Authenticator
• Google Authenticator
• Authy

Hogyan működik?

• App generál 6 számjegyű kódot (30 másodpercenként új)
• Vagy: push értesítés („Jóváhagyod?") → egy kattintás

Előnyök:

• ✅ Biztonságos
• ✅ Offline is működik (kódgenerálás)
• ✅ Ingyenes

2. SMS kód

Hogyan működik?

• Bejelentkezés → SMS érkezik 6 számjegyű kóddal
• Beírod → belépés

Előnyök:

• ✅ Egyszerű (nem kell app)
• ✅ Bárki érti

Hátrányok:

• ⚠️ Kevésbé biztonságos (SIM swap támadás)
• ⚠️ Külföldön drága (roaming)
• ⚠️ Nincs lefedettség → nem megy

3. Hardware token (YUBIKEY)

Mi az?

• USB kulcs (YubiKey, Google Titan)
• Bejelentkezés → bedugod → megnyomod a gombot → belépés

Előnyök:

• ✅ LEGJOBBAN biztonságos
• ✅ Phishing-proof

Hátrányok:

• ⚠️ Drága (~15-20k Ft/db)
• ⚠️ El lehet veszíteni

4. Biometrikus (ujjlenyomat, arc)

Példák:

• Windows Hello (arc/ujjlenyomat)
• Touch ID/Face ID (Mac/iPhone)

Előnyök:

• ✅ Gyors (nincs kódbeírás)
• ✅ Biztonságos

Hátrányok:

• ⚠️ Eszköz-függő (kell ujjlenyomat-olvasó/kamera)

Melyiket ajánljuk?

Cégtípus	Ajánlott MFA
Kis-közepes vállalat (10-50 fő)	Microsoft Authenticator app
Idősebb felhasználók (technológia-távol)	SMS kód (egyszerűbb)
Magas biztonsági igény (pénzügy, jog)	YubiKey (hardware token)
Modern eszközök (új laptop/telefon)	Windows Hello / Face ID

Mennyibe kerül az MFA?

Költségek (30 fő):

MFA típus	Költség
Microsoft Authenticator (app)	INGYENES
SMS kód	~1-2 Ft/SMS → ~10-20k Ft/év (ha sokat használják)
YubiKey (hardware token)	30 × 18k Ft = 540k Ft (egyszeri)
Windows Hello (biometrikus)	INGYENES (ha van ujjlenyomat-olvasó)
Felhasználói képzés (egyszeri, 1 óra)	50-100k Ft

ROI (megtérülés):

Egy phishing támadás átlagos költsége (KKV):

• Email kompromittálás → hamis számla → 2-5M Ft kár
• Ransomware (email-ből terjed) → 5-15M Ft
• Adatszivárgás (GDPR bírság) → 2-20M Ft

MFA költség (30 fő, Microsoft Authenticator):

• App: INGYENES
• Képzés: 50-100k Ft (egyszeri)
• Összesen: ~100k Ft

ROI: Egyetlen megelőzött támadás → 20-150x megtérülés

Hogyan vezessük be az MFA-t? (Gyakorlati útmutató)

5 lépés:

1. lépés: Admin beállítás (Microsoft 365)

• Admin Center → Security → MFA → Enable
• Beállítások: „Authenticator app VAGY SMS"
• „Emlékezz 90 napig" → ✅

2. lépés: Kommunikáció (felhasználók felé)

• Email: „2 hét múlva kötelező az MFA (kétfaktoros hitelesítés)"
• Miért? → „Biztonság, phishing védelem"
• Mit kell tenni? → „Microsoft Authenticator app letöltése"
• Segítség: „IT-support elérhető"

3. lépés: Felhasználói képzés (1 óra)

• Hogyan töltsd le az Authenticator app-ot?
• Hogyan állítsd be? (QR kód beolvasás)
• Hogyan használd? (napi bejelentkezés)
• Mi van, ha elveszíted a telefonod? (backup kódok)

4. lépés: Pilot (tesztelés kis csoporttal)

• 5-10 fő teszteli 1 hétig
• Visszajelzés gyűjtése
• Problémák javítása

5. lépés: Rollout (mindenki számára)

• MFA kötelezővé tétele
• Első bejelentkezéskor: „Állítsd be az MFA-t!"
• IT-support standby (első 1-2 nap)

Gyakori problémák & megoldások:

Probléma	Megoldás
„Nincs okostelefonom"	→ SMS kód (fallback)
„Elveszítettem a telefonom"	→ Backup kódok (előre lementett)
„Új telefon, app nincs még rajta"	→ Backup kódok VAGY admin reset
„Külföldi út, nincs internet"	→ Authenticator offline is működik (kódgenerálás)

Gyakori ellenérvek & válaszok

„Ez lassítja a munkát!"

Válasz:

• Első bejelentkezés után 90 napig NEM kér MFA-t (ugyanaz a gép)
• Csak új gép/helyszín → MFA kérés
• Idő: +5-10 másodperc (ritkán)
• vs. 1 phishing támadás → 3 nap helyreállítás

„Mi van, ha elveszítem a telefonom?"

Válasz:

• Backup kódok (10 db, előre lementett)
• Admin reset (IT-s újra beállítja)
• Alternatív módszer (SMS, email)

„Ez bonyolult az idősebb kollégáknak!"

Válasz:

• SMS kód opció (egyszerűbb)
• Képzés (1 óra, egyszer)
• IT-support (első hetekben extra segítség)

„Miért kell ez, ha eddig nem volt probléma?"

Válasz:

• 2025: phishing támadások +350% (Microsoft Report)
• Biztosítók 2026-tól KÖVETELIK az MFA-t (cyber insurance)
• GDPR compliance (adatvédelem)

Összefoglalás

---

Kapcsolódó cikkek:

• → GDPR és adatvédelem: nem csak papírmunka
• → 3 vészforgatókönyv, amire a legtöbb KKV nincs felkészülve
• → Microsoft 365: miért jó üzletileg?
• → Modern backup megoldások