Dvoufaktorové ověření (2FA) – co to je a proč ho používat?

Dvoufaktorové ověření (anglicky two-factor authentication, zkráceně 2FA) je způsob přihlašování, při němž nestačí pouze heslo – uživatel musí prokázat svou identitu ještě druhým, nezávislým způsobem.

Logika je jednoduchá: i kdyby útočník znal vaše heslo, bez druhého faktoru se k účtu nedostane.

Co jsou faktory ověření

Bezpečnostní teorie rozeznává tři kategorie faktorů:

• Něco, co víte (knowledge factor) – heslo, PIN, bezpečnostní otázka.
• Něco, co máte (possession factor) – mobilní telefon, fyzický bezpečnostní klíč, čipová karta.
• Něco, čím jste (inherence factor) – otisk prstu, rozpoznání obličeje, hlas.

Skutečné vícefaktorové ověření kombinuje faktory z různých kategorií. Kombinace hesla a SMS kódu splňuje podmínku (znalost + vlastnictví). Heslo a bezpečnostní otázka jsou oba faktory ze stejné kategorie – to není MFA.

Typy 2FA

SMS a telefonní hovor

Po zadání hesla vám přijde jednorázový kód formou SMS nebo automatizovaného telefonního hovoru. Jde o nejrozšířenější a nejjednodušší variantu.

Nevýhoda: SMS je nejzranitelnější forma 2FA. Útočníci mohou kód získat přes SIM swapping (podvodný přenos telefonního čísla na jinou SIM kartu u mobilního operátora) nebo zranitelnosti telefonní infrastruktury. Pro ochranu bankovního nebo e-mailového účtu je SMS 2FA lepší než nic, ale není nejsilnější možností.

Ověřovací aplikace (TOTP)

Aplikace jako Google Authenticator, Authy nebo Microsoft Authenticator generují šestimístné číselné kódy, které se mění každých 30 sekund (standard TOTP – Time-based One-Time Password). Kódy se generují přímo v zařízení bez potřeby internetového připojení a nejsou odesílány přes síť – není je tedy možné zachytit při přenosu.

Tato varianta je výrazně bezpečnější než SMS a přitom stále pohodlná. Ověřovací aplikace doporučujeme jako standardní volbu pro e-mail, správce hesel i sociální sítě.

Fyzický bezpečnostní klíč (FIDO2 / WebAuthn)

Hardwarové klíče jako YubiKey nebo Google Titan jsou malá USB nebo NFC zařízení. Při přihlašování klíč fyzicky připojíte nebo přiložíte k zařízení a potvrdíte přítomnost stiskem tlačítka. Komunikace probíhá přes protokol FIDO2 / WebAuthn, který je odolný vůči phishingu – klíč ověří, že skutečně komunikuje s legitimní doménou.

Fyzický klíč je nejsilnější dostupná forma 2FA a prakticky eliminuje riziko phishingového odcizení druhého faktoru. Je vhodný pro vysoce citlivé účty (podnikové systémy, správci hesel, e-mail s přístupem k citlivým datům).

Push notifikace

Některé služby a firemní systémy posílají při přihlášení push notifikaci do aplikace v telefonu, kde uživatel přihlášení potvrdí nebo zamítne. Výhodou je jednoduchost; nevýhodou je, že unavený nebo nesoustředěný uživatel může legitimně vypadající notifikaci potvrdit i při útoku.

Proč je 2FA důležité

Úniky hesel jsou běžnou realitou – probíhají u renomovaných služeb a postižená databáze se může na dark webu prodávat ještě před tím, než si toho provozovatel všimne. Silné heslo je základ, ale 2FA přidává vrstvu, která chrání účet i při úniku přihlašovacích údajů.

Tipy pro vytváření silných hesel najdete v průvodci Jak vytvořit silné heslo: délka, passphrase a unikátnost. Celkový přehled bezpečného chování na internetu přináší Bezpečnost na internetu: kompletní průvodce pro rok 2026.

Kde 2FA zapnout jako první

Prioritně aktivujte 2FA u účtů, jejichž kompromitace by způsobila největší škodu:

1. Primární e-mailová schránka – přes e-mail lze obnovit hesla k ostatním službám.
2. Správce hesel – jediný bod, který chrání přístup ke všem ostatním účtům.
3. Internetové bankovnictví – většina českých bank 2FA vyžaduje ze zákona (přihlášení potvrzuje mobilní aplikace nebo čtečka).
4. Pracovní účty a cloudová úložiště – přístup k firemním datům.
5. Sociální sítě – kompromitovaný účet může být zneužit k podvodům vůči vašim kontaktům.

BankID v ČR využívá silné ověření jako základ své funkce – přihlašování státními portály (Portál občana, datová schránka) prostřednictvím BankID je příkladem MFA v každodenní praxi.