Přeskočit na obsah
OwlGuardScore

Recovery e-mail — záchranný kontakt na účet

Mail, na který ti služba pošle reset hesla. Když ho ovládne útočník, ovládne i tvé další účty.

Co to je

Při zapomenutém hesle ti většina služeb pošle reset link na zaregistrovaný náhradní e-mail. Když útočník ovládne ten náhradní mail, postupně si může vyžádat reset hesla na všech tvých účtech — banka, sociální sítě, cloud, e-shopy. Recovery e-mail je tedy „klíč od všech klíčů".

Proč to záleží

Recovery e-mail patří mezi nejčastěji zneužité „back doors" do účtů. Tři pravidla: (1) zapni mu vlastní 2FA, ideálně app-based, (2) drž ho v password manageru, ne v hlavě, (3) zvaž dedikovanou adresu jen pro recovery (oddělená od té, co používáš pro běžnou komunikaci a co je veřejně známá).

Jak útok funguje

Útočník na recovery e-mail necílí přímo — cílí na něj jako bránu:

  1. OSINT recon — útočník zjistí, kterou adresu používáš jako recovery. Často je veřejně viditelná: na LinkedIn, v "zapomenuté heslo" flow ("kód jsme poslali na j••@gmail.com"), v posledních úniků dat (haveibeenpwned).
  2. Útok na recovery účet — phishing, credential stuffing, SIM swap (pokud recovery má SMS 2FA). Pokud sám recovery e-mail nemá silnou ochranu, jeden úspěšný útok = klíč ke všemu.
  3. Cascade takeover — útočník po obsazení recovery e-mailu spustí "Zapomněl jsem heslo" na všech důležitých službách: banka, Apple/Google ID, sociální sítě, password manager. Reset linky chodí na e-mail, který už ovládá. Během hodiny má kontrolu nad celou tvou identitou.

Specifické vektory:

  • "Zombie" recovery účet — používal jsi adresu před 10 lety, dnes ji nečteš. Útočník zjistí, že doména (např. seznam.cz, hotmail.com) ukončila účet kvůli neaktivitě, znovu ho zaregistruje pod stejnou adresou — a vyžádá si reset hesla. Tvůj recovery teď patří jemu.
  • Recovery na adrese partnera/dítěte — při rozchodu / rodinné krizi může bývalý partner zneužít přístup k recovery e-mailu, který sdílíte. Není to akademická hrozba — domácí násilí a stalking jsou reálné scénáře.
  • Recovery na pracovní e-mail — když firma propustí zaměstnance a deaktivuje účet, ten zaměstnanec ztratí přístup ke všemu, co mělo recovery na pracovní adresu (osobní účty u kterých zapomněl změnit recovery). Nikdy nedávej recovery na pracovní adresu.

Jak se chránit

Setup pravidla:

  1. Dedikovaný recovery e-mail — vytvoř si dedicated adresu, kterou používáš JEN pro recovery. Ne pro newslettery, ne pro registrace, ne pro veřejnou komunikaci. Příklady: prijmeni-recovery@gmail.com, tvojejmeno+recovery@proton.me. Tento mail nikam veřejně nezveřejňuj.
  2. Maximální ochrana recovery účtu samého:
    • Passkey (viz passkey) nebo hardware klíč (YubiKey).
    • Pokud ne, alespoň aplikační 2FA (Authy, 1Password). NIKDY SMS.
    • Silné heslo (~25+ znaků) uložené v password-manageru.
  3. Žádné SMS jako recovery channel — SIM swap to obejde. Pokud služba nabízí jen SMS, nepoužívej tuto službu pro recovery.

Recovery cascade — co nastavit kde:

  • Apple ID → recovery e-mail = dedikovaný, recovery contacts = 2 lidé z rodiny.
  • Google účet → recovery e-mail = dedikovaný, recovery phone vypnutý NEBO na ne-český operátor.
  • Banking → recovery typicky probíhá přes osobní návštěvu pobočky (české banky to dělají správně). Ne přes e-mail.
  • Password manager (1Password, Bitwarden) → emergency kit vytištěný + recovery e-mail dedikovaný.

Údržba:

  • Každý rok (např. první lednový víkend) projeď všechny účty v password manageru a zkontroluj jejich recovery nastavení. Změny v životě (přestěhování, nová práce, rozchod, atd.) by se měly promítnout.
  • Pokud měníš primary e-mail, projít všechny účty a aktualizovat recovery.
  • Recovery e-mail aktivně používej — alespoň 1× měsíčně se přihlas, ať doména neukončí účet jako neaktivní.

Časté mýty

  • Mýtus"Stačí mi mít jako recovery můj normální e-mail, ten používám denně."

    RealitaTvůj normální e-mail je veřejně známá adresa — na LinkedIn, v podpisu, v každém kontaktním formuláři. Útočník ji najde za 30 sekund. Když ji ovládne, dostane se cascade přes všechny další účty. Dedikovaný recovery e-mail, který nikde nezveřejňuješ, snižuje útočníkovu attack surface řádově.

  • Mýtus"Když mám 2FA na hlavním účtu, recovery e-mail je vedlejší."

    RealitaRecovery e-mail dokáže 2FA OBEJÍT. Většina služeb v "Zapomněl jsem heslo + ztratil jsem 2FA" flow přijme alternativní ověření přes recovery e-mail — pošle reset link nebo emergency kód. Když útočník ovládá recovery, 2FA na hlavním účtu pro něj neexistuje. Recovery musí být chráněn STEJNĚ silně jako hlavní účet.

  • Mýtus"Pracovní e-mail je dobrý recovery — firma má lepší security."

    RealitaPracovní e-mail je nejhorší volba: (1) když odejdeš z firmy, ztratíš přístup k recovery, (2) IT správce firmy potenciálně může číst tvou recovery komunikaci, (3) pokud firmu napadnou, tvůj osobní accounty cascade padají s ní. Recovery na osobní dedikovanou adresu nebo recovery contacts.

Quick checklist

Setup (tento týden):

  • Vytvořit dedikovaný recovery e-mail (Gmail / Proton / Tuta).
  • Zapnout pro něj passkey nebo aplikační 2FA (NE SMS).
  • Silné heslo v password manageru.
  • Nikomu adresu nedávat ven, nepouchat veřejně.

Aktualizace recovery (do měsíce):

  • Apple ID / Google → dedikovaný recovery e-mail.
  • Password manager → dedikovaný recovery e-mail + emergency kit vytištěný.
  • Sociální sítě → dedikovaný recovery e-mail.
  • Hlavní e-shopy s uloženou kartou → dedikovaný recovery.

Audit checklist (1× ročně):

  • Přihlásit se do recovery e-mailu (aby doména účet nedeaktivovala).
  • Projít všechny účty v password manageru — recovery e-mail správný?
  • Změny v životě? (Práce, partner, adresa.)
  • Recovery contacts u Apple ID / banky aktuální?

Podobná témata

Souvisí s kategoriemi v testu: Bezpečnost emailového účtu, Hesla, 2FA, základy identity

Jaký byl tenhle článek?

Reakce jsou anonymní — pomáhají nám psát další články líp.

Najdeš chybu nebo máš dotaz? Napiš nám.