V IT práci člověk vidí věci z blízka. Kompromitovaný účet bez 2FA je otázka minut od chvíle kdy útočník získá heslo. Může ho získat phishingem, únikem dat z hacknuté databáze nebo prostým uhádnutím. 2FA tento scénář zastaví i při znalosti hesla.
Dvoufaktorové ověření přidává druhý krok při přihlašování. Nestačí jen heslo. Útočník potřebuje i váš telefon nebo hardwarový klíč. To je kombinace kterou z dálky prostě nezíská.
Jak 2FA funguje
Přihlášení se skládá ze dvou kroků. Heslo je první - něco co znáte. Druhý faktor je něco co máte nebo čím jste:
Podle Googlu zapnutí 2FA sníží riziko prolomení účtu o 99 %. Útočník by musel mít nejen vaše heslo, ale i fyzický přístup k vašemu telefonu. To jsou dvě různé věci které jen tak nejsou na jednom místě.
Typy 2FA od nejslabšího po nejsilnější
SMS kód
SlabšíKód přichází jako SMS zpráva. Pohodlné, ale zranitelné vůči SIM swappingu a odposlechu. Lepší než nic, ale pokud to služba umožňuje, přejděte na autentizační aplikaci.
Autentizační aplikace (TOTP)
Dobrá volbaAplikace generuje šestimístný kód který se každých 30 sekund mění. Funguje offline, není závislá na mobilním signálu. Já používám Google Authenticator - jednoduchý, spolehlivý, bez zbytečností. Proton Pass má TOTP vestavěný přímo ve správci hesel.
Hardwarový klíč (YubiKey)
NejsilnějšíFyzický USB klíč který zapojíte při přihlášení. Odolný proti phishingu - ani na falešné stránce kód nefunguje. Pro nejcitlivější účty jako firemní e-mail nebo přístupy k produkčním systémům.
Kam nastavit 2FA jako první
Nemusíte mít 2FA všude najednou. Začněte tam kde je riziko největší. E-mail je klíčový - přes něj se resetují hesla k ostatním službám. Kdo ovládá váš e-mail, ovládá prakticky vše ostatní.
Které 2FA aplikace používám
Google Authenticator
ZdarmaJednoduchý a spolehlivý. Tohle používám - žádné zbytečnosti, funguje offline, kódy se generují rychle. Nevýhoda: zálohy nejsou automatické, při ztrátě telefonu je potřeba recovery kódy.
- - Funguje offline
- - Přehledný, bez registrace
- - iOS i Android
Proton Pass
Zdarma / placená verzeTOTP autentikátor vestavěný přímo ve správci hesel. Heslo i 2FA kód na jednom místě. Praktické pokud používáte Proton ekosystém - není potřeba přepínat mezi aplikacemi.
- - TOTP spolu s heslem
- - Open-source, švýcarské servery
- - iOS, Android, notebook
Správce hesel s vestavěným 2FA autentikátorem
Proton Pass a NordPass umí ukládat nejen hesla, ale i 2FA kódy. Vše na jednom místě, šifrovaně.
Open-source alternativa zdarma: Aegis Authenticator (Android) nebo Raivo OTP (iOS).
Affiliate odkaz - podpoříte tím provoz webu. Cena se nemění.
Chyby které lidé dělají s 2FA
Pokud ztratíte telefon a nemáte záložní kódy, můžete přijít o přístup k účtu. Záložní kódy vytiskněte a uložte fyzicky. Ne v počítači, ne v cloudu.
SMS je nejslabší forma 2FA. Pokud to služba umožňuje, přejděte na autentizační aplikaci. Je to pět minut práce navíc a výrazně silnější ochrana.
E-mail bez 2FA je otevřená brána ke všemu ostatnímu. Přes e-mail se resetují hesla k bankám, sociálním sítím i správcům hesel. E-mail je první priorita.
TOTP kód chrání proti útočníkovi který má heslo, ale ne proti sofistikovanému phishingu v reálném čase. Proto je URL kontrola stále důležitá i při zapnutém 2FA.