Zabezpečení účtů

    Co je dvoufaktorové ověření (2FA) a proč ho mít všude

    2FA je druhá vrstva ochrany která zachrání účet i když útočník zná vaše heslo. Z IT praxe vím jak devastující může být kompromitovaný účet. Tady je jak 2FA nastavit správně.

    26. ledna 20268 min čteníVlaďka Dudák

    V IT práci člověk vidí věci z blízka. Kompromitovaný účet bez 2FA je otázka minut od chvíle kdy útočník získá heslo. Může ho získat phishingem, únikem dat z hacknuté databáze nebo prostým uhádnutím. 2FA tento scénář zastaví i při znalosti hesla.

    Dvoufaktorové ověření přidává druhý krok při přihlašování. Nestačí jen heslo. Útočník potřebuje i váš telefon nebo hardwarový klíč. To je kombinace kterou z dálky prostě nezíská.

    Jak 2FA funguje

    Přihlášení se skládá ze dvou kroků. Heslo je první - něco co znáte. Druhý faktor je něco co máte nebo čím jste:

    Něco, co máte
    Telefon, hardwarový klíč
    Něco, co znáte
    Heslo, PIN
    Něco, čím jste
    Otisk prstu, Face ID
    Proč to funguje

    Podle Googlu zapnutí 2FA sníží riziko prolomení účtu o 99 %. Útočník by musel mít nejen vaše heslo, ale i fyzický přístup k vašemu telefonu. To jsou dvě různé věci které jen tak nejsou na jednom místě.

    Typy 2FA od nejslabšího po nejsilnější

    SMS kód

    Slabší

    Kód přichází jako SMS zpráva. Pohodlné, ale zranitelné vůči SIM swappingu a odposlechu. Lepší než nic, ale pokud to služba umožňuje, přejděte na autentizační aplikaci.

    Autentizační aplikace (TOTP)

    Dobrá volba

    Aplikace generuje šestimístný kód který se každých 30 sekund mění. Funguje offline, není závislá na mobilním signálu. Já používám Google Authenticator - jednoduchý, spolehlivý, bez zbytečností. Proton Pass má TOTP vestavěný přímo ve správci hesel.

    Hardwarový klíč (YubiKey)

    Nejsilnější

    Fyzický USB klíč který zapojíte při přihlášení. Odolný proti phishingu - ani na falešné stránce kód nefunguje. Pro nejcitlivější účty jako firemní e-mail nebo přístupy k produkčním systémům.

    Kam nastavit 2FA jako první

    Nemusíte mít 2FA všude najednou. Začněte tam kde je riziko největší. E-mail je klíčový - přes něj se resetují hesla k ostatním službám. Kdo ovládá váš e-mail, ovládá prakticky vše ostatní.

    E-mail (Gmail, Proton Mail, Seznam)- priorita
    Správce hesel (NordPass, Proton Pass, Bitwarden)- priorita
    Bankovní aplikace a platební služby- priorita
    Sociální sítě (Facebook, Instagram, LinkedIn)
    Pracovní účty a firemní nástroje
    Cloudové úložiště (Google Drive, iCloud, Proton Drive)

    Které 2FA aplikace používám

    Google Authenticator

    Zdarma

    Jednoduchý a spolehlivý. Tohle používám - žádné zbytečnosti, funguje offline, kódy se generují rychle. Nevýhoda: zálohy nejsou automatické, při ztrátě telefonu je potřeba recovery kódy.

    • - Funguje offline
    • - Přehledný, bez registrace
    • - iOS i Android

    Proton Pass

    Zdarma / placená verze

    TOTP autentikátor vestavěný přímo ve správci hesel. Heslo i 2FA kód na jednom místě. Praktické pokud používáte Proton ekosystém - není potřeba přepínat mezi aplikacemi.

    • - TOTP spolu s heslem
    • - Open-source, švýcarské servery
    • - iOS, Android, notebook

    Správce hesel s vestavěným 2FA autentikátorem

    Proton Pass a NordPass umí ukládat nejen hesla, ale i 2FA kódy. Vše na jednom místě, šifrovaně.

    Vyzkoušet Proton Pass - bezplatná verze dostupná
    Vyzkoušet NordPass - bezplatná verze pro jedno zařízení

    Open-source alternativa zdarma: Aegis Authenticator (Android) nebo Raivo OTP (iOS).

    Affiliate odkaz - podpoříte tím provoz webu. Cena se nemění.

    Chyby které lidé dělají s 2FA

    Neuložení záložních kódů

    Pokud ztratíte telefon a nemáte záložní kódy, můžete přijít o přístup k účtu. Záložní kódy vytiskněte a uložte fyzicky. Ne v počítači, ne v cloudu.

    Spoléhání jen na SMS

    SMS je nejslabší forma 2FA. Pokud to služba umožňuje, přejděte na autentizační aplikaci. Je to pět minut práce navíc a výrazně silnější ochrana.

    2FA jen na některých účtech

    E-mail bez 2FA je otevřená brána ke všemu ostatnímu. Přes e-mail se resetují hesla k bankám, sociálním sítím i správcům hesel. E-mail je první priorita.

    Zadání kódu na phishingové stránce

    TOTP kód chrání proti útočníkovi který má heslo, ale ne proti sofistikovanému phishingu v reálném čase. Proto je URL kontrola stále důležitá i při zapnutém 2FA.

    Zabezpečte své účty ještě dnes

    Začněte e-mailem. Zapněte 2FA přes autentizační aplikaci a uložte záložní kódy. Trvá to 10 minut.