Recovery e-mail — záchranný kontakt na účet
Mail, na který ti služba pošle reset hesla. Když ho ovládne útočník, ovládne i tvé další účty.
Co to je
Při zapomenutém hesle ti většina služeb pošle reset link na zaregistrovaný náhradní e-mail. Když útočník ovládne ten náhradní mail, postupně si může vyžádat reset hesla na všech tvých účtech — banka, sociální sítě, cloud, e-shopy. Recovery e-mail je tedy „klíč od všech klíčů".
Proč to záleží
Recovery e-mail patří mezi nejčastěji zneužité „back doors" do účtů. Tři pravidla: (1) zapni mu vlastní 2FA, ideálně app-based, (2) drž ho v password manageru, ne v hlavě, (3) zvaž dedikovanou adresu jen pro recovery (oddělená od té, co používáš pro běžnou komunikaci a co je veřejně známá).
Jak útok funguje
Útočník na recovery e-mail necílí přímo — cílí na něj jako bránu:
- OSINT recon — útočník zjistí, kterou adresu používáš jako recovery. Často je veřejně viditelná: na LinkedIn, v "zapomenuté heslo" flow ("kód jsme poslali na j••@gmail.com"), v posledních úniků dat (haveibeenpwned).
- Útok na recovery účet — phishing, credential stuffing, SIM swap (pokud recovery má SMS 2FA). Pokud sám recovery e-mail nemá silnou ochranu, jeden úspěšný útok = klíč ke všemu.
- Cascade takeover — útočník po obsazení recovery e-mailu spustí "Zapomněl jsem heslo" na všech důležitých službách: banka, Apple/Google ID, sociální sítě, password manager. Reset linky chodí na e-mail, který už ovládá. Během hodiny má kontrolu nad celou tvou identitou.
Specifické vektory:
- "Zombie" recovery účet — používal jsi adresu před 10 lety, dnes ji nečteš. Útočník zjistí, že doména (např. seznam.cz, hotmail.com) ukončila účet kvůli neaktivitě, znovu ho zaregistruje pod stejnou adresou — a vyžádá si reset hesla. Tvůj recovery teď patří jemu.
- Recovery na adrese partnera/dítěte — při rozchodu / rodinné krizi může bývalý partner zneužít přístup k recovery e-mailu, který sdílíte. Není to akademická hrozba — domácí násilí a stalking jsou reálné scénáře.
- Recovery na pracovní e-mail — když firma propustí zaměstnance a deaktivuje účet, ten zaměstnanec ztratí přístup ke všemu, co mělo recovery na pracovní adresu (osobní účty u kterých zapomněl změnit recovery). Nikdy nedávej recovery na pracovní adresu.
Jak se chránit
Setup pravidla:
- Dedikovaný recovery e-mail — vytvoř si dedicated adresu, kterou používáš JEN pro recovery. Ne pro newslettery, ne pro registrace, ne pro veřejnou komunikaci. Příklady:
prijmeni-recovery@gmail.com,tvojejmeno+recovery@proton.me. Tento mail nikam veřejně nezveřejňuj. - Maximální ochrana recovery účtu samého:
- Passkey (viz passkey) nebo hardware klíč (YubiKey).
- Pokud ne, alespoň aplikační 2FA (Authy, 1Password). NIKDY SMS.
- Silné heslo (~25+ znaků) uložené v password-manageru.
- Žádné SMS jako recovery channel — SIM swap to obejde. Pokud služba nabízí jen SMS, nepoužívej tuto službu pro recovery.
Recovery cascade — co nastavit kde:
- Apple ID → recovery e-mail = dedikovaný, recovery contacts = 2 lidé z rodiny.
- Google účet → recovery e-mail = dedikovaný, recovery phone vypnutý NEBO na ne-český operátor.
- Banking → recovery typicky probíhá přes osobní návštěvu pobočky (české banky to dělají správně). Ne přes e-mail.
- Password manager (1Password, Bitwarden) → emergency kit vytištěný + recovery e-mail dedikovaný.
Údržba:
- Každý rok (např. první lednový víkend) projeď všechny účty v password manageru a zkontroluj jejich recovery nastavení. Změny v životě (přestěhování, nová práce, rozchod, atd.) by se měly promítnout.
- Pokud měníš primary e-mail, projít všechny účty a aktualizovat recovery.
- Recovery e-mail aktivně používej — alespoň 1× měsíčně se přihlas, ať doména neukončí účet jako neaktivní.
Časté mýty
Mýtus"Stačí mi mít jako recovery můj normální e-mail, ten používám denně."
RealitaTvůj normální e-mail je veřejně známá adresa — na LinkedIn, v podpisu, v každém kontaktním formuláři. Útočník ji najde za 30 sekund. Když ji ovládne, dostane se cascade přes všechny další účty. Dedikovaný recovery e-mail, který nikde nezveřejňuješ, snižuje útočníkovu attack surface řádově.
Mýtus"Když mám 2FA na hlavním účtu, recovery e-mail je vedlejší."
RealitaRecovery e-mail dokáže 2FA OBEJÍT. Většina služeb v "Zapomněl jsem heslo + ztratil jsem 2FA" flow přijme alternativní ověření přes recovery e-mail — pošle reset link nebo emergency kód. Když útočník ovládá recovery, 2FA na hlavním účtu pro něj neexistuje. Recovery musí být chráněn STEJNĚ silně jako hlavní účet.
Mýtus"Pracovní e-mail je dobrý recovery — firma má lepší security."
RealitaPracovní e-mail je nejhorší volba: (1) když odejdeš z firmy, ztratíš přístup k recovery, (2) IT správce firmy potenciálně může číst tvou recovery komunikaci, (3) pokud firmu napadnou, tvůj osobní accounty cascade padají s ní. Recovery na osobní dedikovanou adresu nebo recovery contacts.
Quick checklist
Setup (tento týden):
- Vytvořit dedikovaný recovery e-mail (Gmail / Proton / Tuta).
- Zapnout pro něj passkey nebo aplikační 2FA (NE SMS).
- Silné heslo v password manageru.
- Nikomu adresu nedávat ven, nepouchat veřejně.
Aktualizace recovery (do měsíce):
- Apple ID / Google → dedikovaný recovery e-mail.
- Password manager → dedikovaný recovery e-mail + emergency kit vytištěný.
- Sociální sítě → dedikovaný recovery e-mail.
- Hlavní e-shopy s uloženou kartou → dedikovaný recovery.
Audit checklist (1× ročně):
- Přihlásit se do recovery e-mailu (aby doména účet nedeaktivovala).
- Projít všechny účty v password manageru — recovery e-mail správný?
- Změny v životě? (Práce, partner, adresa.)
- Recovery contacts u Apple ID / banky aktuální?
Podobná témata
Souvisí s kategoriemi v testu: Bezpečnost emailového účtu, Hesla, 2FA, základy identity
Jaký byl tenhle článek?
Reakce jsou anonymní — pomáhají nám psát další články líp.
Najdeš chybu nebo máš dotaz? Napiš nám.