Dvoufaktorové ověřování (2FA, two-factor authentication) je bezpečnostní mechanismus, který vyžaduje DVA různé typy ověření při přihlášení. První je obvykle heslo, druhý je kód z SMS, autentizační aplikace, nebo hardwarového klíče. I když útočník získá vaše heslo, bez druhého faktoru se nepřihlásí. 2FA je nejúčinnější obrana proti krádeži účtu a měla by být zapnutá všude, kde je k dispozici.

Jak to funguje

Při přihlášení zadáte heslo. Systém pošle ověřovací kód do druhého kanálu — SMS na váš telefon, push notifikaci v aplikaci, nebo požádá o stisk tlačítka na hardwarovém klíči. Útočník bez přístupu k druhému faktoru nemůže dokončit přihlášení, i když zná vaše heslo.

Jak to rozpoznat

  • Po zadání hesla systém požaduje další kód nebo akci.
  • Kód má omezenou platnost (typicky 30 vteřin u TOTP, 5-10 minut u SMS).
  • Druhý faktor přijde do druhého zařízení nebo kanálu.
Reklama

Co dělat

  1. Zapněte 2FA všude, kde to lze — banka, e-mail, sociální sítě, cloud služby.
  2. Preferujte aplikaci (Google Authenticator, Authy) před SMS — odolnější proti SIM swap.
  3. U nejcennějších účtů zvažte hardwarový klíč (YubiKey, Google Titan, ~700-1500 Kč).
  4. Nikdy nesdělujte 2FA kódy po telefonu nebo přes SMS — banka, policie ani jiná instituce je nikdy nepožaduje.
  5. Zálohujte recovery kódy na bezpečném místě (papír v bezpečné schránce).

Situace v ČR

České banky postupně přecházejí z SMS-based 2FA na app-based, protože SMS je zranitelná na SIM swap útoky. ČSOB, KB, Air Bank, Moneta a Česká spořitelna mají vlastní mobilní aplikace s push notifikacemi pro autorizaci. Komerční banka zavedla v 2024 také tzv. bezpečnostní slovo — kód, který si nastavíte v aplikaci a banka ho používá k potvrzení své identity při hovorech.

Reklama

Časté otázky

Jaký je rozdíl mezi SMS 2FA a aplikačním 2FA?

SMS posílá kód textovou zprávou — zranitelné na SIM swap útoky. Aplikační 2FA generuje kód lokálně na vašem telefonu — nelze ho odposlouchat. Aplikační je vždy bezpečnější.

Co když ztratím telefon s autentizační aplikací?

Při zapnutí 2FA většina služeb generuje recovery kódy (8-10 jednorázových kódů). Uložte je na bezpečné místo (papír v trezoru). Při ztrátě telefonu použijete recovery kód a nastavíte nové zařízení.

Je 2FA potřeba i pro běžný e-mail?

Ano, dokonce ZVLÁŠŤ pro e-mail. Pokud útočník ovládne váš e-mail, může resetovat hesla na všech ostatních účtech. E-mail je master key k vaší online identitě — chraňte ho 2FA jako první.