Přeskočit na obsah
OwlGuardScore

2FA — dvoufaktorová autentizace

Druhý důkaz, že jsi to opravdu ty.

Co to je

Při přihlášení k účtu zadáš heslo a navíc jednorázový kód (obvykle z aplikace v mobilu, někdy SMS nebo bezpečnostní klíč). Kdyby ti někdo ukradl heslo, bez druhého faktoru se na účet nedostane.

Proč to záleží

Samotné heslo je dnes nedostatečná ochrana — phishing, leaky databází a opakované použití hesla znamenají, že je dříve nebo později kompromitované. 2FA tu rizikovou pravděpodobnost srazí v praxi téměř na nulu.

Jak útok funguje

2FA neutralizuje útoky, které stojí jen na heslu — credential stuffing (znovupoužití hesla z úniku) a phishing běžného typu. Útoky, které 2FA zkouší obejít, jsou subtilnější:

  • Real-time phishing s 2FA proxy — útočník nepřesměruje tě jen na statickou kopii, ale na proxy server, který tvoje vstupy živě posílá pravé službě. Vyplníš e-mail → proxy se přihlásí → služba pošle 2FA kód na tvůj telefon → vyplníš kód na proxy → proxy ho posílá pravé službě. Útočník je uvnitř. Tomuhle odolá jen passkey (viz passkey) nebo hardware klíč s FIDO2 — ne SMS, ne aplikační kód.
  • SIM swap pro SMS 2FA — viz sim-swapping. Útočník nechá převést tvoje číslo na svou SIM, SMS s kódem dorazí jemu.
  • MFA fatigue / push bombing — útočník (který má tvoje heslo) opakovaně klika "Přihlásit se", což na tvém telefonu generuje push notifikace "Schválit přihlášení?". Doufá, že omylem schválíš (nebo z únavy). Funguje hlavně proti push-based MFA.
  • Recovery account takeover — místo aby šel přímo proti tvému účtu, útočník napadne recovery e-mail nebo telefonní číslo. Pak si vyžádá reset hesla a 2FA shodí. Proto recovery-email musí být na nejvyšší úrovni ochrany.

Jak se chránit

Hierarchie faktorů — od nejhoršího po nejlepší:

  1. Nic — jen heslo. Nepoužitelné pro cokoli důležitého.
  2. SMS 2FA — lepší než nic, zranitelné na SIM swap. OK pro low-stakes účty.
  3. Aplikační kód (TOTP) — Google Authenticator, Authy, 1Password. Funguje offline, nezávisí na telefonním čísle. Default volba.
  4. Push notification — Microsoft Authenticator, Duo. Pohodlnější než kód, ale zranitelné na MFA fatigue.
  5. Passkey — viz passkey. Phishing-resistant, žádný kód k vyplnění.
  6. Hardware klíč (YubiKey, Google Titan) — fyzický token, který zapojíš do USB nebo držíš u NFC. Nejvyšší ochrana pro klíčové účty.

Praktický recept:

  • Klíčové účty (e-mail, banking, password manager, Apple/Google ID): passkey nebo hardware klíč. Plus jeden záložní 2FA způsob (aplikační kód nebo druhý hardware klíč).
  • Důležité účty (sociální sítě, hlavní e-shop, sdílené účty v rodině): aplikační kód minimálně.
  • Vše ostatní: cokoli kromě SMS.

Nastavení (typicky 2 min/účet):

  1. Nastavení účtu → Zabezpečení → "Two-factor authentication" / "Dvoufaktorové ověření".
  2. Vyber preferovanou metodu (Authenticator app je default).
  3. Naskenuj QR kód do Google Authenticator / Authy / 1Password.
  4. Stáhni si backup codes a uschovej (vytištěné, ne ve stejném telefonu).
  5. Pojistka: přidej druhou 2FA metodu (telefon manželky / hardware klíč) pro recovery.

Časté mýty

  • Mýtus"2FA mě zpomaluje pokaždé, když se chci přihlásit."

    RealitaPo prvním přihlášení si zařízení obvykle můžeš označit jako důvěryhodné — kód pak chce jen občas, typicky jednou za pár týdnů nebo když se přihlásíš z nového místa. Reálný náklad: pár sekund navíc za měsíc.

  • Mýtus"Mně stačí SMS kód, to je přece taky 2FA."

    RealitaSMS je lepší než nic, ale útočník si může nechat převést tvoje číslo na svoji SIM kartu (SIM swapping) a kódy chodí jemu. Aplikační kód v Authenticatoru / Authy a hlavně passkey nebo hardware klíč jsou výrazně bezpečnější.

  • Mýtus"Mám fakt silné heslo, 2FA mi nic nepřinese."

    RealitaSebesilnější heslo se dá ukrást při phishingu (vyplníš ho na podvržené stránce) nebo uniknout z databáze, kterou si někdo nabourá. 2FA je druhá pojistka, která útok zastaví i v případě, že heslo už útočník zná.

Quick checklist

Klíčové účty (musíš mít):

  • E-mail (Gmail, Outlook, Seznam) — passkey nebo hardware klíč.
  • Apple ID / Google účet — passkey nebo hardware klíč.
  • Banking — to, co banka nabízí (typicky aplikace + push notification, případně hardware klíč pro byznys).
  • Password manager — aplikační kód nebo hardware klíč.

Důležité účty (doporučeno):

  • Sociální sítě (Facebook, Instagram, LinkedIn) — aplikační kód.
  • Hlavní e-shopy (Alza, Amazon, Mall) — aplikační kód.
  • Cloud storage (iCloud, Google Drive, Dropbox) — passkey nebo aplikační kód.

Pro recovery scénář:

  • Mám vytištěné backup codes uložené mimo telefon (v šuplíku, v bance, u rodičů)?
  • Mám druhou 2FA metodu pro klíčové účty (druhý telefon, hardware klíč)?
  • Vím, jak postupovat při ztrátě telefonu? (Viz první pomoc — ztráta telefonu.)

Podobná témata

Souvisí s kategoriemi v testu: Hesla, 2FA, základy identity, Bezpečnost emailového účtu

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.