Návody

Dvoufaktorové ověření (2FA): kompletní průvodce

Dvoufaktorové ověření chrání účty i při úniku hesla. Jak funguje 2FA, jaké typy existují a jak ho zapnout v bance nebo u e-mailu.

Redakce Digitální Ochrana Aktualizováno

Vaše heslo může být kompromitováno bez vašeho vědomí. Může uniknout při útoku na web, kde ho používáte, může ho phisher ukrást falešnou přihlašovací stránkou nebo ho útočník uhodne. Dvoufaktorové ověření – 2FA – zajišťuje, že ani v takovém případě se útočník k vašemu účtu nedostane. Je to druhý zámek na dveřích.

Co je dvoufaktorové ověření

Dvoufaktorové ověření (anglicky Two-Factor Authentication, 2FA, někdy také MFA – Multi-Factor Authentication) je způsob přihlašování, který vyžaduje dva nezávislé důkazy vaší totožnosti. Standardně to jsou:

Faktor 1 – něco, co víte: heslo, PIN.

Faktor 2 – něco, co máte: kód z SMS, kód z aplikace, fyzický bezpečnostní klíč, notifikace v mobilní aplikaci banky.

Útočník, který získá vaše heslo, neuspěje bez druhého faktoru. A naopak: i kdyby někdo měl váš telefon, bez hesla se nepřihlásí.

Podle dat CSIRT.CZ bylo v roce 2024 evidováno 2 281 incidentů, přičemž 74 % z nich tvořil phishing. Právě phishing nejčastěji slouží k odcizení hesel. 2FA výrazně snižuje škody, které takový útok může způsobit.

Typy dvoufaktorového ověření

SMS kód

Nejrozšířenější, ale nejméně bezpečná metoda. Na vaše číslo přijde šestimístný kód, který zadáte po heslu.

Výhody: jednoduché, nevyžaduje instalaci aplikace.

Slabiny:

  • Real-time phishing: útočník vás přesměruje na podvodný web, vy zadáte heslo i SMS kód, on ho okamžitě použije na skutečném webu.
  • SIM swapping: podvodník přesvědčí operátora, aby vaše číslo přenesl na jeho SIM. Pak přijímá vaše SMS místo vás. Tento útok byl zaznamenán i v ČR, postihuje zejména majitele kryptoměn a podnikatele.
  • Ztráta signálu: bez příjmu SMS nemůžete.

SMS 2FA je výrazně lepší než žádné 2FA. Ale pro bankovnictví, e-mail a další kritické účty doporučujeme přejít na aplikaci.

Autentifikační aplikace (TOTP)

Aplikace jako Google Authenticator, Microsoft Authenticator nebo otevřený Aegis generují šestimístné kódy, které se mění každých 30 sekund. Standard se jmenuje TOTP (Time-based One-Time Password).

Výhody:

  • Kódy existují pouze lokálně na vašem zařízení, neprocházejí přes mobilní síť.
  • Odolnější vůči SIM swappingu.
  • Fungují bez připojení k internetu a bez mobilního signálu.

Slabiny:

  • Real-time phishing stále funguje – sofistikovaný útočník může kód přeposlat v reálném čase.
  • Ztráta telefonu bez zálohy komplikuje obnovu.

Doporučené aplikace:

  • Google Authenticator – jednoduché, záloha přes Google účet.
  • Microsoft Authenticator – přidává push notifikace pro Microsoft účty.
  • Aegis (Android, open source) – záloha exportem, doporučeno pro pokročilé uživatele.
  • Authy – synchronizace napříč zařízeními, ale je proprietární.

Push notifikace (Approve/Deny)

Přihlášení schválíte klepnutím v mobilní aplikaci. Používají ho banky (Česká spořitelna George klíč, ČSOB Smart klíč, Air Bank aplikace) i služby jako Duo Security nebo Microsoft Authenticator pro firemní prostředí.

Výhody: velmi jednoduché, bez zadávání kódů.

Slabiny: útočníci spoléhají na únavu uživatele – posílají desítky požadavků v noci s nadějí, že zmateně odklepnete. Taktika se nazývá MFA fatigue. Vždy si ověřte, zda jste přihlášení sami vyvolali.

Hardwarový bezpečnostní klíč

Fyzické zařízení (YubiKey, Google Titan Key) zapojíte do USB nebo přiložíte přes NFC k telefonu. Přihlášení pak vyžaduje fyzického dotyku klíče.

Výhody: absolutní ochrana před phishingem – klíč ověřuje doménu webu kryptograficky a odmítne se použít na podvodném webu. Útočník s vaším heslem nemůže nic, pokud nemá fyzicky váš klíč.

Slabiny: cena (600–1 500 Kč), možnost fyzické ztráty, nepodporují všechny weby.

Pro koho: novináři, aktivisté, vedoucí pracovníci, majitelé kryptoměn nebo kdokoliv, kdo spravuje vysoce citlivé účty.

Passkeys (přístupové klíče)

Passkeys nejsou klasické 2FA – nahrazují celý přihlašovací proces, včetně hesla. Podrobně je vysvětlujeme v článku Co jsou passkeys (přístupové klíče)?.

Jak zapnout 2FA u nejčastějších účtů

E-mailový účet (Gmail)

  1. Přejděte na myaccount.google.com → Zabezpečení → Dvoufázové ověření.
  2. Klikněte na Začít a zadejte heslo.
  3. Vyberte metodu: Google Prompt (notifikace v telefonu), Authenticator nebo SMS.
  4. Pro nejvyšší bezpečnost zvolte Authenticator aplikaci: naskenujte QR kód v aplikaci Google Authenticator nebo Aegis.
  5. Uložte záchranné kódy na bezpečné místo.

Microsoft / Outlook

  1. Přejděte na account.microsoft.com → Zabezpečení → Další možnosti zabezpečení.
  2. Aktivujte Dvoufázové ověření.
  3. Doporučujeme nainstalovat Microsoft Authenticator a propojit ho s účtem.

Bankovnictví v ČR

Česká legislativa (PSD2, zákon č. 370/2017 Sb. o platebním styku) přikazuje bankám používat silnou autentizaci (SCA). Váš druhý faktor je proto fakticky povinný. Jak to funguje u konkrétních bank:

  • ČSOB: Smart klíč v mobilní aplikaci (push notifikace + biometrika).
  • Česká spořitelna: George klíč – biometrické ověření v aplikaci.
  • Air Bank: aplikace s biometrikou nebo SMS kód.
  • Fio banka: SMS kód nebo token.
  • Raiffeisenbank: SMS nebo mobilní aplikace eToken.

Doporučení: preferujte autentizaci přes mobilní aplikaci banky před SMS. Aplikace jsou odolnější vůči SIM swappingu.

Sociální sítě

Facebook / Instagram: Nastavení → Centrum účtů → Heslo a zabezpečení → Dvoufaktorové ověření. Zvolte autentifikační aplikaci.

LinkedIn: Nastavení a soukromí → Přihlášení a zabezpečení → Dvoufázové ověření.

X (Twitter): Nastavení → Zabezpečení → Dvoufaktorové ověření. Poznámka: SMS 2FA je u X dostupné jen placeným uživatelům.

Záchranné kódy: nezapomenutelná pojistka

Každá služba, která nabízí 2FA, by vám měla poskytnout záchranné kódy pro jednorázové použití. Tyto kódy fungují místo druhého faktoru – hodí se, pokud ztratíte telefon.

Kam záchranné kódy ukládat:

  • Vytisknout a uložit v trezoru nebo bezpečném místě.
  • Uložit do správce hesel (pokud ho máte zálohovaný).
  • Zapsat ručně a dát k důležitým dokumentům.

Čeho se vyvarovat: neukládejte záchranné kódy do stejného zařízení, kde máte autentifikační aplikaci. Smysl zálohy spočívá v tom, že je to jiné, oddělené místo.

2FA a phishing: co zvládne a co ne

2FA výrazně zvyšuje bezpečnost, ale není absolutní ochranou. Reálná hranice leží zde:

Co 2FA zastaví: útočník, který získal vaše heslo (z úniklé databáze, hrubou silou, heslovým sprejováním), se bez druhého faktoru nepřihlásí. Toto je nejčastější scénář.

Co 2FA může obejít sofistikovaný útočník: real-time phishing (útočník vás směruje přes proxy na skutečný web a přeposílá kódy v reálném čase), SIM swapping (pro SMS 2FA), MFA fatigue (cílené zahlcení push notifikacemi).

Co před phishingem chrání spolehlivě: passkeys a hardwarové bezpečnostní klíče. Ty jsou vázány na doménu a podvodný web je jednoduše nemůže použít.

Jak phishingu předcházet obecně, popisujeme v průvodci Jak se bránit phishingu: průvodce pro uživatele v ČR. Jak vybrat a spravovat silná hesla, vysvětluje Jak vytvořit silné heslo: délka, passphrase a unikátnost.

Propojení s celkovou bezpečností

2FA je jeden ze tří pilířů základní digitální bezpečnosti. Funguje nejlépe v kombinaci:

  1. Silná, unikátní hesla pro každý účet – správce hesel je nutností.
  2. 2FA na všech důležitých účtech – e-mail, bankovnictví, sociální sítě.
  3. Obezřetnost při klikání – phishing začíná ještě před přihlašovací stránkou.

Celkový přehled bezpečné online praxe nabízí náš průvodce Bezpečnost na internetu: kompletní průvodce pro rok 2026.

Co teď udělat?

  • Zkontrolujte e-mailový účet – Google, Seznam nebo Microsoft: nastavte autentifikační aplikaci místo SMS. Je to 5 minut.
  • Stáhněte Google Authenticator nebo Aegis a zapněte TOTP 2FA na svém nejdůležitějším účtu.
  • Uložte záchranné kódy na bezpečné fyzické místo – ihned po aktivaci 2FA.
  • Ověřte nastavení svého bankovnictví: přihlaste se do nastavení a zkontrolujte, přes jaký druhý faktor schvalujete platby. Upřednostněte aplikaci před SMS.
  • Zapněte 2FA na sociálních sítích – Facebook, Instagram a LinkedIn mají nastavení snadno dostupné v sekci zabezpečení.

Často kladené otázky: dvoufaktorové ověření

Co se stane, když ztratím telefon s autentifikační aplikací?

Při nastavování 2FA dostanete záchranné kódy pro jednorázové použití. Uložte je na bezpečné místo (tiskopis v trezoru, správce hesel). Alternativně použijte záložní metodu, kterou jste nastavili. Bez záchranných kódů může být obnova účtu zdlouhavá a vyžaduje kontakt podpory.

Je SMS kód bezpečný jako druhý faktor?

SMS je lepší než žádné 2FA, ale má slabiny. Útočník může při phishingovém útoku SMS kód v reálném čase přeposlat (real-time phishing). Existuje také SIM swapping – podvodné přenesení čísla na útočníkovu SIM. Pro citlivé účty (banka, e-mail) doporučujeme autentifikační aplikaci nebo hardwarový klíč.

Jak zapnout 2FA v Google?

Přihlaste se do myaccount.google.com, zvolte Zabezpečení → Dvoufázové ověření → Začít. Průvodce vám nabídne SMS, záchranné kódy, autentifikační aplikaci nebo passkey. Pro nejvyšší bezpečnost zvolte autentifikační aplikaci nebo Google Prompt.

Musím 2FA zapínat i u banky?

České banky mají od roku 2021 povinnost silné autentizace (SCA – Strong Customer Authentication) ze zákona – PSD2 direktivy EU. Přihlašování do internetového bankovnictví a potvrzování plateb tedy 2FA fakticky vyžaduje. Ujistěte se, že váš druhý faktor je aplikace banky nebo token, ne pouze SMS.

Nenechte se na internetu napálit

Praktické návody, nezávislé testy a jasná srovnání — vše česky a bez marketingového balastu.

Číst návody Vyzkoušet nástroje