2FA — dvoufaktorová autentizace
Druhý důkaz, že jsi to opravdu ty.
Co to je
Při přihlášení k účtu zadáš heslo a navíc jednorázový kód (obvykle z aplikace v mobilu, někdy SMS nebo bezpečnostní klíč). Kdyby ti někdo ukradl heslo, bez druhého faktoru se na účet nedostane.
Proč to záleží
Samotné heslo je dnes nedostatečná ochrana — phishing, leaky databází a opakované použití hesla znamenají, že je dříve nebo později kompromitované. 2FA tu rizikovou pravděpodobnost srazí v praxi téměř na nulu.
Jak útok funguje
2FA neutralizuje útoky, které stojí jen na heslu — credential stuffing (znovupoužití hesla z úniku) a phishing běžného typu. Útoky, které 2FA zkouší obejít, jsou subtilnější:
- Real-time phishing s 2FA proxy — útočník nepřesměruje tě jen na statickou kopii, ale na proxy server, který tvoje vstupy živě posílá pravé službě. Vyplníš e-mail → proxy se přihlásí → služba pošle 2FA kód na tvůj telefon → vyplníš kód na proxy → proxy ho posílá pravé službě. Útočník je uvnitř. Tomuhle odolá jen passkey (viz passkey) nebo hardware klíč s FIDO2 — ne SMS, ne aplikační kód.
- SIM swap pro SMS 2FA — viz sim-swapping. Útočník nechá převést tvoje číslo na svou SIM, SMS s kódem dorazí jemu.
- MFA fatigue / push bombing — útočník (který má tvoje heslo) opakovaně klika "Přihlásit se", což na tvém telefonu generuje push notifikace "Schválit přihlášení?". Doufá, že omylem schválíš (nebo z únavy). Funguje hlavně proti push-based MFA.
- Recovery account takeover — místo aby šel přímo proti tvému účtu, útočník napadne recovery e-mail nebo telefonní číslo. Pak si vyžádá reset hesla a 2FA shodí. Proto recovery-email musí být na nejvyšší úrovni ochrany.
Jak se chránit
Hierarchie faktorů — od nejhoršího po nejlepší:
- Nic — jen heslo. Nepoužitelné pro cokoli důležitého.
- SMS 2FA — lepší než nic, zranitelné na SIM swap. OK pro low-stakes účty.
- Aplikační kód (TOTP) — Google Authenticator, Authy, 1Password. Funguje offline, nezávisí na telefonním čísle. Default volba.
- Push notification — Microsoft Authenticator, Duo. Pohodlnější než kód, ale zranitelné na MFA fatigue.
- Passkey — viz passkey. Phishing-resistant, žádný kód k vyplnění.
- Hardware klíč (YubiKey, Google Titan) — fyzický token, který zapojíš do USB nebo držíš u NFC. Nejvyšší ochrana pro klíčové účty.
Praktický recept:
- Klíčové účty (e-mail, banking, password manager, Apple/Google ID): passkey nebo hardware klíč. Plus jeden záložní 2FA způsob (aplikační kód nebo druhý hardware klíč).
- Důležité účty (sociální sítě, hlavní e-shop, sdílené účty v rodině): aplikační kód minimálně.
- Vše ostatní: cokoli kromě SMS.
Nastavení (typicky 2 min/účet):
- Nastavení účtu → Zabezpečení → "Two-factor authentication" / "Dvoufaktorové ověření".
- Vyber preferovanou metodu (Authenticator app je default).
- Naskenuj QR kód do Google Authenticator / Authy / 1Password.
- Stáhni si backup codes a uschovej (vytištěné, ne ve stejném telefonu).
- Pojistka: přidej druhou 2FA metodu (telefon manželky / hardware klíč) pro recovery.
Časté mýty
Mýtus"2FA mě zpomaluje pokaždé, když se chci přihlásit."
RealitaPo prvním přihlášení si zařízení obvykle můžeš označit jako důvěryhodné — kód pak chce jen občas, typicky jednou za pár týdnů nebo když se přihlásíš z nového místa. Reálný náklad: pár sekund navíc za měsíc.
Mýtus"Mně stačí SMS kód, to je přece taky 2FA."
RealitaSMS je lepší než nic, ale útočník si může nechat převést tvoje číslo na svoji SIM kartu (SIM swapping) a kódy chodí jemu. Aplikační kód v Authenticatoru / Authy a hlavně passkey nebo hardware klíč jsou výrazně bezpečnější.
Mýtus"Mám fakt silné heslo, 2FA mi nic nepřinese."
RealitaSebesilnější heslo se dá ukrást při phishingu (vyplníš ho na podvržené stránce) nebo uniknout z databáze, kterou si někdo nabourá. 2FA je druhá pojistka, která útok zastaví i v případě, že heslo už útočník zná.
Quick checklist
Klíčové účty (musíš mít):
- E-mail (Gmail, Outlook, Seznam) — passkey nebo hardware klíč.
- Apple ID / Google účet — passkey nebo hardware klíč.
- Banking — to, co banka nabízí (typicky aplikace + push notification, případně hardware klíč pro byznys).
- Password manager — aplikační kód nebo hardware klíč.
Důležité účty (doporučeno):
- Sociální sítě (Facebook, Instagram, LinkedIn) — aplikační kód.
- Hlavní e-shopy (Alza, Amazon, Mall) — aplikační kód.
- Cloud storage (iCloud, Google Drive, Dropbox) — passkey nebo aplikační kód.
Pro recovery scénář:
- Mám vytištěné backup codes uložené mimo telefon (v šuplíku, v bance, u rodičů)?
- Mám druhou 2FA metodu pro klíčové účty (druhý telefon, hardware klíč)?
- Vím, jak postupovat při ztrátě telefonu? (Viz první pomoc — ztráta telefonu.)
Podobná témata
Souvisí s kategoriemi v testu: Hesla, 2FA, základy identity, Bezpečnost emailového účtu
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.