W szkole muzycznej, językowej czy artystycznej krążą informacje wrażliwsze niż w niejednym banku: imiona i nazwiska niepełnoletnich uczniów, adresy rodziców, harmonogramy lekcji, wypłaty nauczycieli, faktury, oświadczenia RODO. Włamanie na konto dyrektora szkoły to nie jest „tylko przeczytanie maili” — to potencjalny dostęp do listy obecności dzieci, kontaktów ich rodziców, nagrań z lekcji online.
Dlatego od dnia 11 maja 2026 każde konto Vocato — także bezpłatne — może korzystać z czterowarstwowej weryfikacji dwuetapowej, łącznie z najnowszymi kluczami sprzętowymi (passkeys / WebAuthn / FIDO2).
To nie jest opcja premium. To nie jest dodatek za 49 zł/miesiąc. To standard, który należy się każdemu, bo dane uczniów nie dzielą się na klasy biznesowe i ekonomiczne.
Co to jest weryfikacja dwuetapowa (2FA) i dlaczego ma znaczenie
Hasło to za mało. Statystyki są bezlitosne: 80% udanych włamań na konta używa skradzionych albo zgadniętych haseł. Wystarczy, że zalogujesz się raz w niezaufanej sieci WiFi w kawiarni, klikniesz w fałszywego maila od „banku” albo użyjesz tego samego hasła w dwóch miejscach — i ktoś inny ma dostęp do Twojej szkoły.
Weryfikacja dwuetapowa (2FA) wymaga drugiego dowodu tożsamości obok hasła. Coś co wiesz (hasło) + coś co masz (telefon, klucz, biometryka). Nawet jeśli ktoś ukradnie Twoje hasło, nadal nie wejdzie na konto bez drugiego czynnika.
W Vocato dostępne są cztery metody — możesz włączyć jedną, dwie, trzy lub wszystkie cztery. Im więcej, tym lepiej.
1️⃣ Aplikacja uwierzytelniająca (TOTP) — najpopularniejsza
Co to jest: Aplikacja na telefonie generuje co 30 sekund nowy, 6-cyfrowy kod (np. Google Authenticator, Microsoft Authenticator, Authy, 1Password, Bitwarden). Przy logowaniu po wpisaniu hasła Vocato pyta o ten kod.
Plusy:
– Działa offline — nie potrzebujesz zasięgu ani internetu
– Standard branżowy używany przez banki, GitHub, Microsoft, Google
– Aplikacje są darmowe
Minusy:
– Trzeba mieć telefon przy sobie
– Jeśli zgubisz telefon bez kopii zapasowej — kłopot (dlatego są kody zapasowe, patrz niżej)
Dla kogo: podstawowy wybór dla większości użytkowników. Bezpieczne, sprawdzone, działa wszędzie.
2️⃣ Kod SMS
Co to jest: Vocato wysyła 6-cyfrowy kod SMS-em na Twój zweryfikowany numer telefonu. Wpisujesz, wchodzisz.
Plusy:
– Nie wymaga instalowania niczego
– Działa na każdym telefonie, nawet starym
– Najprostsze pod względem UX dla osób mniej technicznych
Minusy:
– Wymaga zasięgu sieci komórkowej
– SMS-y w teorii można przechwycić (atak SIM swap) — w praktyce dla typowej szkoły to ryzyko marginalne, dla osób publicznych może być istotne
– Każdy SMS to drobny koszt operacyjny — który Vocato pokrywa za Ciebie
Dla kogo: użytkownicy bez aplikacji uwierzytelniającej, jako uzupełnienie TOTP, jako „plan B” gdy zostawisz telefon w domu (a inny numer jest powiązany z drugim urządzeniem).
3️⃣ Kody zapasowe (recovery)
Co to jest: Po włączeniu 2FA Vocato generuje listę 10 jednorazowych kodów. Wydrukuj je, zapisz w menedżerze haseł, przechowuj w sejfie. Każdy kod działa raz — po użyciu zostaje wykreślony.
Plusy:
– „Asekuracja” gdy zgubisz telefon, zmienisz numer albo zostawisz urządzenie w taksówce
– Nie wymagają żadnego urządzenia poza karteczką
– Pozwalają odzyskać dostęp bez kontaktu z supportem
Minusy:
– Trzeba je gdzieś bezpiecznie przechowywać (nie na biurku!)
– Jeśli ktoś znajdzie listę, ma 10 darmowych wejść na Twoje konto — przechowuj jak hasło do sejfu
Dla kogo: każdy użytkownik z włączonym 2FA powinien wygenerować i schować listę. To ratunek na wypadek katastrofy z innymi metodami.
4️⃣ Klucze sprzętowe (Passkeys / WebAuthn / FIDO2) — NAJBEZPIECZNIEJSZE
Co to jest: Najnowszy standard branżowy, używany przez Apple, Google, Microsoft, banki, agencje rządowe. Twoja przeglądarka rozmawia bezpośrednio z urządzeniem biometrycznym — Touch ID, Face ID, Windows Hello — albo z fizycznym kluczem USB (np. YubiKey, Google Titan). Vocato dostaje cyfrowy podpis zamiast hasła; ten podpis działa tylko dla domeny vocato.pl i tylko z Twojego urządzenia.
Plusy:
– Odporne na phishing — nawet jeśli klikniesz w fałszywego maila, fałszywa strona nie dostanie podpisu, bo klucz przyjmie tylko prawdziwe vocato.pl
– Brak kodów do wpisywania — wystarczy dotyk palca albo spojrzenie w kamerę
– Brak haseł do zapamiętania ani do kradzieży
– Działa na wszystkich subdomenach vocato.pl (vocato.pl, panel.vocato.pl, talentyda.vocato.pl, itp.)
– Możesz dodać kilka kluczy — np. iPhone + MacBook + służbowy YubiKey
– Klucze nigdy nie opuszczają Twojego urządzenia — Vocato nie przechowuje ich, nie widzi ich, nie może ich oddać nikomu pod presją
Minusy:
– Wymaga nowoczesnej przeglądarki (Chrome, Safari, Firefox, Edge z ostatnich kilku lat — wszystko OK)
– Jeśli stracisz wszystkie zarejestrowane urządzenia jednocześnie, potrzebujesz kodów zapasowych
Dla kogo: wszyscy, którzy chcą maksymalnego bezpieczeństwa przy minimalnym wysiłku. Dyrektorzy szkół, księgowi, każdy kto obsługuje wypłaty. Po pierwszej rejestracji codzienne logowanie to dotyk palca — szybciej niż wpisywanie hasła.
Jak to włączyć — krok po kroku
- Zaloguj się na swoje konto Vocato
- Przejdź do sekcji Konto i bezpieczeństwo w menu (lewy górny róg → trzy kreski)
- Rozwiń sekcję 🔒 Weryfikacja dwuetapowa (2FA)
-
Wybierz metody, które chcesz włączyć — każda ma osobną sub-sekcję:
– 📱 Aplikacja uwierzytelniająca → zeskanuj kod QR aplikacją na telefonie
– 📲 SMS → wpisz numer telefonu, potwierdź kodem SMS
– 🔑 Kody zapasowe → wygeneruj listę 10 kodów, wydrukuj/zapisz
– 🔐 Klucze sprzętowe → nadaj nazwę kluczowi, kliknij „Dodaj klucz”, potwierdź biometryką -
Zalecamy włączyć minimum DWIE metody — najlepiej passkey + kody zapasowe.
Cały proces zajmuje 3–5 minut. Po włączeniu, przy każdym logowaniu Vocato po wpisaniu hasła zapyta o drugi czynnik.
Co z RODO i ochroną danych?
Vocato jest podmiotem przetwarzającym dane (procesorem) w rozumieniu RODO. Wprowadzenie 2FA to konkretny środek techniczny spełniający Art. 32 RODO („odpowiednie środki techniczne i organizacyjne dla zapewnienia bezpieczeństwa danych”). Jeśli kiedykolwiek będziesz proszony o audyt bezpieczeństwa albo wykazanie należytej staranności w stosunku do danych uczniów — sam fakt, że konta są chronione 4-warstwowym 2FA z opcją FIDO2, jest mocnym argumentem.
Plus istotne szczegóły techniczne dla audytorów:
– Hasła użytkowników przechowywane jako PBKDF2 (WordPress standard) — niewrażliwe na rainbow tables
– Sekrety TOTP zapisywane szyfrowane w bazie
– Klucze passkey — przechowywane są wyłącznie klucze publiczne (PEM), klucze prywatne nigdy nie opuszczają urządzenia użytkownika
– Numery telefonu — szyfrowane, używane wyłącznie do wysyłki kodów SMS przez certyfikowanego polskiego operatora (SMSAPI)
– Logi 2FA — przechowywane minimum, anonimowane po 30 dniach
– Hostowanie — serwery w UE (Polska), żadne dane nie opuszczają EOG
Dlaczego dajemy to wszystkim za darmo?
Bo to nasze DNA. Dobre zabezpieczenie danych dzieci, młodzieży i ich rodziców nie powinno być przedmiotem upsellingu. To nie jest funkcja, którą się dodaje za 49 zł/miesiąc — to jest fundament, na którym usługa edukacyjna w ogóle ma prawo stać.
Mała szkoła muzyczna w Wałbrzychu obsługująca 30 dzieci ma dokładnie taki sam moralny i prawny obowiązek chronić te dane jak międzynarodowa korporacja edukacyjna obsługująca 30 tysięcy. Plan cenowy nie zmienia tego, co właściwe.
Vocato wybiera bezpieczeństwo jako standard, nie jako produkt premium. Czas, żeby reszta branży edukacyjnej za nami nadgoniła.
FAQ — Bezpieczeństwo i 2FA w Vocato
P: Czy muszę włączyć 2FA?
O: Nie ma obowiązku, ale zdecydowanie zalecamy. Konta szkolne z włączonym 2FA są ~99% bardziej odporne na przejęcie niż konta tylko z hasłem.
P: Co jeśli zgubię telefon z aplikacją uwierzytelniającą?
O: Użyj jednego z kodów zapasowych, które wygenerowałeś przy włączaniu 2FA. Każdy działa raz; wystarczy jeden, żeby się zalogować i ustawić nowy czynnik na nowym urządzeniu.
P: Co jeśli zgubię telefon I nie mam kodów zapasowych?
O: Skontaktuj się z supportem Vocato (support@vocato.pl) z konta email zarejestrowanego do szkoły. Po zweryfikowaniu Twojej tożsamości pomożemy odzyskać dostęp. To proces ręczny — może zająć 1–2 dni robocze.
P: Czy SMS jest bezpieczny?
O: SMS jest bezpieczny dla 99% użytkowników. Niewielkie ryzyko (atak SIM swap u operatora) dotyczy głównie osób publicznych albo bardzo wysokiego profilu — dla typowej szkoły to ryzyko marginalne. Jeśli jednak prowadzisz dużą szkołę i obsługujesz znacznych klientów, zalecamy passkey jako podstawową metodę, a SMS jako „plan B”.
P: Czy passkey działa na iPhone?
O: Tak — od iOS 16. Wykorzystuje Face ID lub Touch ID. Passkeys synchronizują się przez iCloud Keychain, więc jeśli zarejestrujesz klucz na iPhone, automatycznie zadziała też na Twoim Macu i iPadzie zalogowanym do tego samego Apple ID.
P: Czy passkey działa na Androidzie?
O: Tak — od Androida 9. Wykorzystuje odcisk palca, rozpoznawanie twarzy lub PIN telefonu. Passkeys synchronizują się przez Google Password Manager.
P: Czy passkey działa na Windows?
O: Tak — Windows Hello (PIN, odcisk palca, kamera) w Edge, Chrome lub Firefox.
P: Czy potrzebuję drogiego klucza USB jak YubiKey?
O: Nie. Twój telefon i laptop już są kluczami sprzętowymi. YubiKey i podobne urządzenia są wartościowe dla scenariuszy enterprise (np. dyrektor IT zarządzający wieloma szkołami z jednego klucza), ale dla 99% użytkowników wbudowana biometryka urządzenia wystarczy.
P: Czy moje dane biometryczne (Face ID, Touch ID) są wysyłane do Vocato?
O: Nie, nigdy. Biometryka nigdy nie opuszcza Twojego urządzenia. Vocato widzi tylko cyfrowy podpis potwierdzający, że Twoje urządzenie potwierdziło Twoją tożsamość. Sam odcisk palca/zdjęcie twarzy zostają w bezpiecznym module sprzętowym (Secure Enclave w iPhone, TPM w Windows, StrongBox w Androidzie).
P: Czy mogę dodać kilka passkeys?
O: Tak. W sekcji 🔑 Klucze sprzętowe możesz dodać dowolnie wiele kluczy — np. iPhone, MacBook, służbowy YubiKey, prywatny tablet. Każdy działa niezależnie. Jeśli stracisz jeden, pozostałe wciąż działają.
P: Jak to wpływa na codzienne logowanie?
O: Po włączeniu passkey codzienne logowanie staje się szybsze niż dotychczas: email → hasło (lub auto-uzupełnienie z menedżera) → dotyk palca → wchodzisz. Aplikacja uwierzytelniająca dodaje 5–10 sekund (otwarcie aplikacji, przepisanie kodu); SMS dodaje 10–30 sekund (poczekanie na SMS, przepisanie); passkey dodaje 1–2 sekundy.
P: Czy 2FA blokuje konto, jeśli pomylę kod?
O: Mamy zabezpieczenie przed brute-force: po 3 nieudanych próbach konto zostaje czasowo zablokowane na 15 minut. To chroni Cię przed kimś, kto próbuje zgadnąć kod tysiąc razy.
P: Czy płacę za SMS-y wysyłane do mnie?
O: Nie. Koszty SMS pokrywa Vocato. Limit ~50 SMS-ów miesięcznie na konto darmowe (więcej niż każdy normalnie potrzebuje); użytkownicy z bardzo wysokim obrotem mogą wykupić paczki SMS w ramach planów płatnych dla szkół.
P: Co jeśli moja szkoła obsługuje uczniów na panel.vocato.pl albo własnym subdomain (np. moja-szkola.vocato.pl)?
O: Passkey zarejestrowany raz działa na wszystkich subdomenach vocato.pl — to celowa decyzja architektoniczna. Tym samym kluczem logujesz się do panel.vocato.pl, panel.moja-szkola.vocato.pl, vocato.pl itd.
P: Czy mogę wyłączyć 2FA?
O: Tak. W sekcji Konto i bezpieczeństwo każda metoda ma przycisk „Wyłącz” (wymaga ponownego wpisania hasła dla potwierdzenia). Nie zalecamy wyłączania bez ważnego powodu.
P: Czy 2FA jest dostępne dla kont uczniów?
O: Tak — każde konto Vocato, niezależnie od roli (uczeń, rodzic, nauczyciel, dyrektor, administrator szkoły), ma dostęp do tych samych 4 metod 2FA.
P: Jak Vocato chroni się przed włamaniem od strony serwera?
O: Pełny stos: serwery w UE, szyfrowane połączenia (HTTPS, TLS 1.3), regularnie aktualizowane oprogramowanie, system audytu wewnętrznego (Apipoint Audit Scanner) skanujący wszystkie endpointy pod kątem podatności, kopie zapasowe w innym datacenter, monitoring 24/7, ograniczenia dostępu administracyjnego z białej listy adresów IP, brak haseł trzymanych w plaintext, brak danych poza UE.
Włącz 2FA już dziś
Wejdź na vocato.pl/konto → sekcja Konto i bezpieczeństwo → Weryfikacja dwuetapowa. Trzy minuty pracy raz, spokój na lata.
Jeśli prowadzisz szkołę i masz nauczycieli / koordynatorów / dyrektorów na koncie — wyślij im ten artykuł. Edukacja zespołu to też element bezpieczeństwa.
Pytania? Pisz na support@vocato.pl — pomożemy.
— Zespół Vocato