Blog

MFA správně: Proč SMS nestačí a kdy vás nezachrání ani aplikace

16. října 2025

MFA správně: Proč SMS nestačí a kdy vás nezachrání ani aplikace
Zpět na blog

Dvoufázové ověření (2FA/MFA) je dnes absolutní nutnost. Heslo samotné je v roce 2025 mrtvé. Pokud ale spoléháte na to, že vám přijde SMS kód, nebo že jen bezmyšlenkovitě kliknete na „Schválit“ v mobilu, můžete mít falešný pocit bezpečí.

Hackeři se vyvíjejí a metody, které stačily před pěti lety, jsou dnes děravé. Pojďme se podívat na evoluci MFA – od nejhoršího po neprůstřelné.

Úroveň 1: SMS kód (Lepší než nic, ale...)

Banka nebo Facebook vám pošlou 6 čísel zprávou. Problém: SMS sítě jsou zastaralé a nešifrované.

  • SIM Swap útok: Útočník zavolá vašemu operátorovi, vydává se za vás (s uniklými údaji) a nechá si přenést vaše číslo na svou SIM kartu. SMS s kódem pak přijde jemu, ne vám.

  • Verdikt: Používejte jen tam, kde není jiná možnost. Pro firemní účty je to nedostatečné.

Úroveň 2: Autentizační aplikace (Zlatý střed)

Používáte Google Authenticator, Microsoft Authenticator nebo jinou aplikaci, která generuje kódy, nebo vám posílá notifikaci ke schválení. Výhoda: Kód se generuje přímo ve vašem zařízení, neletí vzduchem přes operátora. Verdikt: Ideální standard pro většinu uživatelů. Ale pozor – i tady existují pasti (viz níže).

Úroveň 3: Hardwarový klíč (YubiKey) – Pevnost

Malé USB zařízení, které máte na klíčích. Když se chcete přihlásit, strčíte ho do počítače a dotknete se ho. Výhoda: Nejde to oklamat na dálku. Fyzicky musíte být u počítače. Klíč pomocí kryptografie ověří, že jste skutečně na stránkách https://www.google.com/search?q=google.com a ne na https://www.google.com/search?q=g00gle.com. Verdikt: Nutnost pro administrátory, ředitele a kohokoliv, kdo spravuje finance nebo citlivá data.

Kde MFA selhává? (Aneb jak vás hacknou i s aplikací)

Máte aplikaci v mobilu a cítíte se bezpečně? Pozor na tyto dva moderní útoky, které obcházejí běžné MFA.

1. MFA Fatigue (Únava z ověřování)

Hackeři získali vaše heslo. Skript začne odesílat žádosti o přihlášení. Vám začne mobil pípat: „Schválit přihlášení?“ Pípne to jednou. Desetkrát. O půlnoci. Ve tři ráno. Uživatel, frustrovaný a rozespalý, nakonec klikne na „Schválit“, jen aby měl klid. A tím pustí útočníka dovnitř.

  • Obrana: Nikdy neschvalujte žádost, kterou jste sami nevyvolali. Pokud vám chodí spamy, kontaktujte IT, neklikejte na Schválit.

2. AiTM (Adversary-in-the-Middle) – Sofistikovaný phishing

Tohle je největší hrozba současnosti.

  1. Kliknete na odkaz v e-mailu. Vypadá jako přihlášení do Microsoft 365.

  2. Zadáte jméno a heslo.

  3. Stránka si vyžádá i váš MFA kód (nebo vás vyzve k potvrzení v aplikaci).

  4. Trik: Ta stránka je "průtokový ohřívač". Hacker v reálném čase vezme váš kód a pošle ho skutečnému Microsoftu.

  5. Microsoft vás přihlásí, ale "session cookie" (digitální sušenku, která vás drží přihlášené) ukradne hacker.

  • Obrana: Zde pomůže jedině FIDO2 (Passkeys/Hardwarový klíč), který pozná, že jste na falešné doméně, nebo funkce Number Matching (v aplikaci musíte opsat číslo, které vidíte na monitoru PC – hacker ho nevidí).

Závěr: Jak to nastavit správně?

  1. Vypněte SMS, kde to jde.

  2. Používejte aplikace.

  3. V aplikacích zapněte „Number Matching“ (opisování čísla), pokud to vaše firma umožňuje.

  4. Pro kritické účty (root, admin) si pořiďte hardwarový klíč.

MFA je jako zámek na dveřích. SMS je petlice z hobby marketu, hardwarový klíč jsou bezpečnostní dveře trezoru. Vybírejte podle toho, co chráníte.

Další články

Top 5 uživatelských chyb, které zbytečně zahlcují IT helpdesk (a jak se jim vyhnout)

18. února 2026

Top 5 uživatelských chyb, které zbytečně zahlcují IT helpdesk (a jak se jim vyhnout)

Každé IT oddělení má stejný cíl: zajistit, aby firma fungovala hladce a data byla v bezpečí. Realita všedního dne je ale často jiná. Místo řešení kybernetické bezpečnosti nebo rozvoje infrastruktury tráví technici hodiny řešením problémů, které by uživatelé zvládli odstranit sami.

Sdílené disky vs. Chaos v právech: Kam mizí data, když kolega odejde?

3. února 2026

Sdílené disky vs. Chaos v právech: Kam mizí data, když kolega odejde?

Znáte ten scénář? Kolega odejde z firmy, IT mu zruší účet a najednou celému týmu zmizí důležitá složka s projekty. Nebo kliknete na odkaz a vyskočí na vás „Přístup odepřen“. Proč se to děje? Protože většina firem si plete osobní prostor s tím firemním.

Pravidlo 3-2-1: Zlatý standard zálohování (a proč je záloha bez testu k ničemu)

26. ledna 2026

Pravidlo 3-2-1: Zlatý standard zálohování (a proč je záloha bez testu k ničemu)

V IT existuje staré pořekadlo: „Lidé se dělí na dva typy: na ty, kteří o data přišli, a na ty, které to teprve čeká.“ Pevný disk se může rozbít, notebook vám ukradnou, nebo (což je dnes nejčastější) vám data zašifruje ransomware. Pokud máte všechna data jen na jednom místě, hrajete ruskou ruletu.

Máte zájem o naše služby? Kontaktujte nás ještě dnes.

Logo

E-MAIL:

servis@revoit.cz

TELEFON:

+420 774 481 048

LinkedIn:

Revolution network, s.r.o.

LinkedIn

2025 Revolution network, s.r.o. Všechna práva vyhrazena.

|

Společnost zapsaná v obchodním rejstříku: C 289206/MSPH Městský soud v Praze

|

Zásady zpracování osobních údajů

|

Používání cookies

|

web by revoit

Ikona podpory

SUPPORT

Call

774 481 048

Ikona asistence

HELPDESK

Chat

Chat