Přejít k obsahu | Přejít k hlavnímu menu

Není faktor jako faktor. Aneb proč ověřovací kódy nestačí.

Vícefaktorové ověření (MFA) je dnes běžnou ochranou proti zneužití hesel. Při přihlašování jsme zvyklí zadávat kromě hesla také jednorázové ověřovací kódy z e-mailu, SMS nebo ověřovací aplikace. Jenže tato metoda má jednu zásadní slabinu. V článku odhalíme, v čem jsou ověřovací kódy zranitelné, a ukážeme, jak zajistit bezpečnost, aniž byste museli obětovat pohodlí.

30. 10. 2025 Dávid Magušin Hrozby

Berete kyberbezpečnost vážně, a proto jste si ve svých účtech na sociálních sítích, v e-mailech, v ISu a v INETu nastavili vícefaktorové ověření (MFA). Zadávání kódu, který vám přijde e-mailem, SMS nebo v aplikaci v mobilu, je sice otravné, ale jste ochotni toto nepohodlí podstoupit v zájmu vyšší bezpečnosti. Co když je ale toto nepohodlí zčásti zbytečné, a ne tak bezpečné, jak si myslíte? V tomto článku si představíme rizika jednorázových ověřovacích kódů jako metody vícefaktorového ověření a ukážeme řešení, které je zároveň pohodlnější i bezpečnejší. 

Jak fungují jednorázové ověřovací kódy?

Jednorázové kódy představují jednu z metod vícefaktorového ověřování. Když se přihlašujete, dostanete jednorázový kód SMS zprávou, e-mailem, nebo v aplikaci v mobilu. Tento kód zadáte do systému a tím se potvrdí, že se opravdu přihlašujete vy. Útočník, který zná jen vaše heslo, se tímto způsobem do účtu nedostane. To platí například tehdy, pokud útočník získal přístup k přihlašovacím údajům, které byly součástí úniku dat, a nyní se je snaží použít pro přihlášení. Ale co když útočník počítá s tím, že máte nastavenou tuto metodu vícefaktorového ověřování?

Vícefaktorové ověření pomocí jednorázového kódu pro služby Jednotného přihlášení MUNI.

Phishing vs. kódy 1:0

Jak se často říká, „útočníci jsou vždy o krok napřed“ — a bohužel to není jen prázdná fráze. Útočníci se snaží získat vaše ověřovací kódy. Často to dělají tak, že vás přimějí kliknout na odkaz a vy se ocitnete na falešné webové stránce, kterou lze rozpoznat jen podle drobné záměny v adrese (např. munl místo muni). Pokud pak na této stránce zadáte své heslo a jednorázový kód, zadáváte je přímo do rukou útočníka. A problém je na světe.

Bez popisku
Bez popisku

Existuje však řešení – nastavit si jako metodu vícefaktorového ověření tzv. softwarový bezpečnostní klíč (označovaný také jako bezpečnostní klíč, přístupový klíč nebo passkey, fungující podle standardu WebAuthn).

Co je bezpečnostní klíč

Jedná se o digitální token nebo program, který je spojený s fyzickým zařízením (notebook/počítač, mobil/tablet). Kliknete, přiložíte prst nebo nasnímáte obličej – takto pohodlně funguje bezpečnostní klíč. Tento klíč je unikátní, nelze jej napodobit a nefunguje na žádném falešném „zámku“ – tedy na falešné webové stránce. Pohodlné a bezpečné – pojďme si princip tohto klíče trochu rozvést.

Nezadáváte žádné kódy. Nic nepřepisujete do formuláře, takže útočník nemůže čekat, že mu kód někdo „zadá“ na falešné stránce.

Bezpečnost prioritou. Když se přihlašujete, klíč ověří, že komunikace probíhá se správnou adresou služby – falešná stránka proto ověření nezíská.

Je pohodlný. Přihlášení potvrdíte kliknutím, otiskem prstu nebo nasnímanim obličeje – bez nutnosti zadávat kód.

Bez popisku

Bez popisku

Bez popisku

Jak vypadá používání bezpečnostního klíče v praxi?

Ukázky použití bezpečnostního klíče pro služby Jednotného přihlášení na MUNI – přístup přes různé platformy.

Bitwarden

Správce hesel Bitwarden – bezpečnostní (přístupový) klíč si můžete uložit do rozšíření v prohlížeči a ověření pak potvrdit jediným kliknutím.

Bez popisku
Windows Hello

Windows Hello – přihlášení pomocí otisku prstu nebo rozpoznání obličeje ve Windows.

Bez popisku
macOS

Touch ID (MacBook) – přihlášení pomocí otisku prstu na Macu.

Bez popisku

To zní až moc dobře, že? Ano, má to jistý háček. Vlastně tři háčky:

  • Vyžaduje počáteční nastavení – pár minut navíc, ale pak funguje bez starostí

    Pokud si chcete nastavit tuto metodu například na Masarykově univerzitě, máme pro vás videonávody, které vás vším provedou. Nabízíme vám ale také skupinový workshop, kde vám s nastavením osobně pomohou naši zkušení lektoři. U jiných služeb hledejte v nastaveních možnost vícefaktorového ověření a nastavení pomocí bezpečnostního/přístupového klíče.

  • Metodu bezpečnostního klíče zatím nepodporuje každá služba

    Ne každá služba podporuje metodu bezpečnostního klíče, i když se postupně rozšiřuje. Na MUNI si ho můžete nastavit pro služby Jednotného přihlášení. V IS MU tato možnost zatím není dostupná, ale nově lze přihlášení potvrdit pomocí aplikace Notifikace IS MU v telefonu. Bezpečnostní klíč je dostupný také u některých dalších služeb, například Google, Microsoft, X (dříve Twitter) nebo LinkedIn – zde dokonce plně nahrazuje hesla. Při přihlášení stačí zadat uživatelské jméno nebo e‑mail a následně přihlášení potvrdit například přiložením otisku prstu.

    V současnosti některé společnosti zavádějí tzv. "passwordless" systémy, kde bezpečnostní klíč (passkey) úplně nahrazuje heslo – uživatel tak při přihlášení zadává jen uživatelské jméno či e‑mail a následně potvrzuje přihlášení například otiskem prstu nebo rozpoznáním obličeje.

  • Vyžaduje kompatibilní zařízení

    Na některých počítačích nebo noteboocích, které nepodporují přihlašování například otiskem prstu nebo rozpoznáním obličeje, není možné použít bezpečnostní klíč přímo v zařízení. Pokud si chcete ověřit, že vaše zařízení podporuje tuto funkci, můžete si to otestovat zde:

    Otestovat zařízení

    I v případě, že podpora chybí, existuje řešení – bezpečnostní klíč si můžete uložit do správce hesel (trezor, ve kterém máte uložená všechna hesla), například do Bitwardenu, a používat ho i na dalších zařízeních – na jiném PC nebo na mobilu. Bitwarden je zdarma a zatím nejsou evidovány žádné bezpečnostní incidenty, které by zpochybňovaly jeho spolehlivost a bezpečnost. Navíc dokáže automaticky vyplnit přihlašovací údaje a bezpečnostní klíč použijete jen kliknutím na potvrzovací tlačítko. Pro instalaci a používání máme pro vás opět připravený videonávod nebo skupinový workshop.

Slovo závěrem 

Vícefaktorové ověření je důležitým krokem pro zvýšení bezpečnosti vašich účtů, ale ne všechny metody jsou stejně účinné. Jednorázové kódy sice poskytují dodatečnou ochranu, ale mohou být zranitelné vůči phishingu nebo odcizení. Proto doporučujeme softwarový bezpečnostní klíč. Automaticky ověřuje, že se přihlašujete ke správné službě, a není možné jej použít na falešné stránce. Přihlášení je rychlé a jednoduché – stačí kliknutí, otisk prstu nebo rozpoznání obličeje. I když má metoda některá omezení existují způsoby, jak tato omezení obejít – například využitím správce hesel, který bezpečnostní klíč uchovává a umožňuje jeho použití i na zařízeních bez biometrického přihlášení. Bezpečnostní klíč výrazně zvyšuje ochranu vašich účtů před zneužitím a zejména před phishingovými útoky. A pokud vás témata kyberbezpečnosti zajímají více, můžete se seznámit se základy v kurzu Kyberkompas.

Tento výsledek byl podpořen projektem SOCCER, financovaným na základě grantové dohody č. 101128073, s podporou Evropského centra kompetencí pro kybernetickou bezpečnost (ECCC).

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info