Dvoufaktorová autentizace uživatele

Marek Bielik

Proč dvoufaktorová autentizace (2FA) patří mezi nejdůležitější obranné vrstvy

Dvoufaktorová autentizace (2FA) přidává k heslu druhý, nezávislý faktor, který výrazně snižuje riziko kompromitace účtu při úniku databází hesel, phishingu či útocích hrubou silou. Cílem tohoto článku je vysvětlit rozdíly mezi SMS kódy, autentifikačními aplikacemi a hardwarovými klíči, poskytnout porovnání jejich odolnosti vůči moderním hrozbám a nabídnout praktická doporučení pro jednotlivce i organizace.

Model důvěry: tři kategorie faktorů

  • Něco, co znáte: heslo nebo PIN.
  • Něco, co máte: telefon s aplikací nebo SIM kartou, hardwarový bezpečnostní klíč.
  • Něco, čím jste: biometrie (otisk prstu, obličej) – v online prostředí se často používá k odemknutí lokálního klíče, nikoli přímo jako faktor odesílaný serveru.

2FA kombinuje minimálně dvě z těchto kategorií. Čím je kombinace nezávislejší (zejména „něco, co máte“ implementované mimo mobilní síť), tím vyšší je odolnost vůči útokům.

SMS kódy: dostupnost versus zranitelnosti

Princip: Služba odešle jednorázový kód přes SMS, který uživatel přepíše do přihlašovacího formuláře.

Výhody

  • Nejširší podpora – funguje i bez smartphonu nebo dat.
  • Rychlá implementace ze strany poskytovatelů.
  • Žádné dodatečné aplikace nebo zařízení.

Rizika a omezení

  • SIM swapping a podvody s přesměrováním: útočník přesune vaše číslo na vlastní SIM kartu a převezme SMS kódy.
  • SS7 a síťové slabiny: teoretická možnost odposlechu nebo přesměrování SMS v mobilní síti.
  • Phishing: kód lze vylákat v reálném čase („real-time phishing proxy“).
  • Dostupnost v roamingu/bez signálu: SMS nemusí vždy přijít včas.

Shrnutí: SMS je lepší než žádné 2FA, avšak jedná se o nejslabší variantu z hlediska odolnosti proti cíleným útokům.

Autentifikační aplikace: TOTP a push notifikace

Princip TOTP: Aplikace (např. Aegis, FreeOTP, Microsoft Authenticator, 1Password/Bitwarden Authenticator, Google Authenticator) generuje každých 30 sekund kód na základě sdíleného tajemství a času. Kód se zadává podobně jako u SMS, ale nevzniká závislost na mobilní síti.

Výhody TOTP

  • Bez vazby na operátora a SMS infrastrukturu.
  • Jednoduchá migrace a zálohy (pokud to aplikace podporuje, ideálně šifrované).
  • Standardizovaný formát (RFC 6238), široká kompatibilita.

Rizika TOTP

  • Phishing: kódy lze vylákat – uživatel je manuálně zadává.
  • Komprese telefonu: malware s přístupem k obrazovce nebo aplikaci může kódy přečíst.
  • Zálohy: nesprávně uložená tajemství (seed) představují dlouhodobé riziko.

Push notifikace: Přihlášení prostřednictvím „schvál/odmítnout“ v aplikaci (např. Duo, Okta, MS Authenticator). Zvyšuje použitelnost, ale je náchylné na push fatigue (klikám „schválit“ ze zvyku). Odolnější jsou metody number matching a device binding (zařízení podepisuje požadavek svým klíčem).

Hardwarový bezpečnostní klíč: U2F/FIDO2/WebAuthn

Princip: Kryptografický klíč (USB-A/C, NFC, Lightning) provádí výzvu-odpověď podpisem privátním klíčem uloženým v bezpečném čipu. Server drží pouze veřejný klíč. Interakce probíhá dotykem tlačítka (přítomnost uživatele) a volitelně PINem či biometrikou.

Výhody

  • Odolnost proti phishingu: klíč váže autentizaci na konkrétní doménu (origin binding), útoky přes podvodné stránky selhávají.
  • Žádné jednorázové kódy: není co přepisovat a zachytávat.
  • Silný model soukromí: každý účet má odlišný pár klíčů, žádný trvalý identifikátor napříč službami.
  • Offline: funguje bez GSM a internetu na klientském zařízení.

Rizika a praktické otázky

  • Ztráta klíče: nutné mít záložní klíč a mechanismus obnovy.
  • Kompatibilita: starší služby podporují jen TOTP/SMS; FIDO2/WebAuthn je však dnes široce podporován v moderních prohlížečích a operačních systémech.
  • Náklady a logistika: cena klíčů, jejich evidence a rotace ve firmách.

Shrnutí: Hardwarový klíč je dnes zlatý standard pro kritické účty: poskytuje nejvyšší odolnost proti phishingu a moderním útokům.

Rychlé porovnání podle hrozeb

Hrozba / Metoda SMS Aplikace (TOTP/push) Hardwarový klíč (FIDO2)
Phishing (podvodná doména) zranitelná zranitelná (lépe s number matching) odolná (vazba na origin)
SIM swapping / přesměrování SMS zranitelná nerelevantní nerelevantní
Malware v telefonu střední riziko střední riziko (pokud kompromitovaný seed) nízké (klíč je izolovaný)
Dostupnost bez signálu omezená dobrá dobrá
Uživatelská jednoduchost dobrá (známý proces) dobrá (automatické kopie z clipboardu, push) vynikající (dotyk, bez kódů)
Náklady nízké nízké střední–vyšší

Passkeys a bezheslové přihlašování vs. 2FA

Passkeys (postavené na FIDO2/WebAuthn) nahrazují heslo párem klíčů. Přihlášení je jednofaktorové, avšak kryptograficky silné a odolné vůči phishingu. V praxi je často nejlepší strategií: používat passkeys a tam, kde je to ještě nemožné, aktivovat 2FA s TOTP nebo nejlépe s hardwarovým klíčem.

Doporučené strategie pro jednotlivce

  1. Kritické účty (e-mail, bankovnictví, správce hesel, identity): preferujte hardwarový klíč nebo passkey. Nastavte alespoň dva klíče (primární + záložní).
  2. Ostatní účty: zapněte TOTP v autentifikační aplikaci. SMS používejte pouze pokud není jiná volba.
  3. Kódy pro obnovu: uložte do šifrovaného trezoru (správce hesel), ideálně offline záloha (výpis do trezoru).
  4. Zabezpečení telefonu: silný kód, aktualizace, minimalizovat root/jailbreak.
  5. Opatrnost při push notifikacích: schvalujte pouze to, co jste sami iniciovali.

Doporučené strategie pro organizace

  • Rizikové profily: pro administrátory, vývojáře a účty s přístupem k produkci vyžadujte FIDO2 klíče (phishing-resistentní MFA) a politiky „number matching“ pro push notifikace.
  • Procesy životního cyklu klíčů: vydání, evidence, více registračních metod (min. 2 klíče), periodická revize, bezpečná likvidace.
  • Fallback politika: kódy pro obnovu, ověření identity při ztrátě klíče, vyhnout se snižování úrovně zabezpečení (například přechod na SMS) bez dodatečného ověření.
  • Školení a simulované phishingové útoky: snížení pravděpodobnosti schválení nevyžádaných push notifikací a vylákání kódů.
  • Integrační standardy: preferujte SSO s WebAuthn, moderní IdP a povinné MFA pro vzdálený přístup a cloudové služby.

Implementační postup: krok za krokem

  1. Audit účtů: identifikujte, kde je dostupné WebAuthn/Passkeys, TOTP nebo pouze SMS.
  2. Nastavení hardwarového klíče: zaregistrujte alespoň dva (USB-C + NFC pro mobil), pojmenujte je a záložní uložte odděleně.
  3. Nastavení TOTP: naskenujte QR kód v aplikaci, uložte seed nebo zapněte šifrovanou synchronizaci/zálohu v rámci aplikace.
  4. Kódy pro obnovu: ihned stáhněte a bezpečně uložte.
  5. Vypněte SMS, pokud je to možné: minimalizujete útoky na mobilní síť a phishing kódů.

Správa rizik: matice rozhodování

  • Nízké riziko (fórum, hobby): TOTP; SMS pokud není alternativa.
  • Střední riziko (běžné cloudové služby, sociální sítě): TOTP nebo passkey, zvážit hardwarový klíč pro hlavní e-mail.
  • Vysoké riziko (finance, infrastruktura, správci hesel, admin účty): FIDO2 hardwarový klíč nebo passkeys, minimálně dva kusy + politika obnovy.

Nejčastější chyby a jak se jim vyhnout

  • Jeden klíč bez zálohy: vždy registrujte alespoň dva.
  • Neuložené recovery kódy: bez nich je obnova složitá a zdlouhavá.
  • Schvalování nevyžádaných push notifikací: používejte number matching a školte uživatele.
  • Ponechání SMS jako fallback bez dodatečného ověření: omezte nebo chraňte dalšími kroky.
  • Nešifrované zálohy TOTP seedů: ukládejte výhradně v šifrovaném trezoru.

Ochrana soukromí a soulad s regulací

Hardwarové klíče a passkeys minimalizují sdílení identifikátorů napříč službami. Z pohledu GDPR/ochrany soukromí je výhodné, že poskytovatel vidí pouze veřejný klíč a origin vazbu – nikoli jedinečné globální ID. Pro finanční a zdravotnické systémy mohou být požadavky na silné MFA přímo součástí compliance rámců; phishing-resistant MFA (FIDO2) obvykle usnadňuje splnění těchto požadavků.

Bezpečný provoz a údržba

  • Rotace a revize: pravidelně kontrolujte seznam registrovaných klíčů a zařízení.
  • Aktualizace: udržujte operační systémy, prohlížeče a autentifikační aplikace aktuální.
  • Segmentace rizika: oddělte pracovní a soukromé identity a zařízení, pokud je to možné.

FAQ: praktické otázky

Co když ztratím hardwarový klíč?
Použijte záložní klíč nebo recovery kódy. Následně zrušte registraci ztraceného klíče a vydáte nový.
Mohu mít 2FA na více zařízeních?
Ano. TOTP seedy lze importovat do více aplikací (dbejte na bezpečnost), hardwarové klíče registrovat více kusů.
Je biometrie povinná?
Ne. Biometrie často pouze odemyká lokální klíč (passkey), samotná autentizace probíhá kryptograficky.
Proč se doporučuje vypnout SMS po aktivaci TOTP nebo klíče?
Aby se útočník nemohl „přepnout“ na nejslabší kanál v procesu obnovy.

Praktický kompromis mezi bezpečností a pohodlím

Pokud chcete rychlé a robustní zlepšení bezpečnosti, začněte aktivací TOTP na všech účtech a pro nejdůležitější účty přidejte hardwarový klíč nebo passkeys. Důležité je mít zálohy (druhý klíč, recovery kódy), udržovat aktualizace a minimalizovat závislost na SMS. Tak dosáhnete vysoké odolnosti vůči phishingu, snížíte rizika spojená s mobilní sítí a zároveň si zachováte pohodlné a rychlé přihlašování.

Súvisiace články