Přejít k hlavnímu obsahu

Co je 2FA? Průvodce dvoufaktorovým ověřením

Co je 2FA? Jak funguje dvoufaktorové ověření, pět typů 2FA a jak ho aktivovat na vašich nejdůležitějších účtech.

Naposledy aktualizováno: 5. dubna 2026

Hesla sama o sobě nestačí k ochraně vašich online účtů. Úniky dat odhalují každý rok miliardy přihlašovacích údajů a dokonce i silná hesla mohou být kompromitována phishingem, keyloggery nebo útoky hrubou silou. Dvoufaktorové ověření (2FA) přidává druhou vrstvu obrany — i kdyby někdo ukradl vaše heslo, stále nemůže získat přístup k vašemu účtu bez druhého faktoru. Tento průvodce vysvětluje, co je 2FA, jak každá metoda funguje, které typy jsou nejbezpečnější a jak ji nastavit na vašich nejdůležitějších účtech. Je to jeden z jednotlivých nejefektivnějších kroků, které můžete podniknout k ochraně svého digitálního života.

Typy dvoufaktorového ověření

SMS kódy

Jednorázový kód je odeslán na vaše telefonní číslo prostřednictvím textové zprávy. Tento kód zadáte po svém hesle k dokončení přihlášení. SMS 2FA je nejrozšířenější metoda — téměř každá služba ji podporuje a nevyžaduje žádné dodatečné aplikace ani hardware. Je to však nejslabší forma 2FA kvůli zranitelnosti vůči útokům SIM swappingu (kdy útočník přesvědčí vašeho operátora, aby přenesl vaše telefonní číslo na jeho SIM kartu) a zneužitím protokolu SS7, které mohou zachycovat textové zprávy.

  • Pro: Široce podporováno, nevyžaduje aplikaci, funguje na jakémkoli telefonu
  • Proti: Zranitelné vůči SIM swappingu, zachycení SS7 a útokům sociálního inženýrství na telefonní operátory

Ověřovací aplikace (TOTP)

Aplikace Time-based One-Time Password (TOTP) generují nový 6místný kód každých 30 sekund pomocí sdíleného tajemství a aktuálního času. Populární aplikace zahrnují Google Authenticator, Authy, Microsoft Authenticator a Ente Auth. TOTP je výrazně bezpečnější než SMS, protože kódy jsou generovány lokálně na vašem zařízení — neexistuje žádný přenosový kanál, který by mohl být zachycen. Kódy fungují offline a nejsou vázány na vaše telefonní číslo. To je doporučená 2FA metoda pro většinu lidí, vyvažující silnou bezpečnost s pohodlností použití.

  • Pro: Bezpečné, schopné offline, zdarma dostupné aplikace, nesvázané s telefonním číslem
  • Proti: Ztráta zařízení bez záložních kódů vás vyloučí; phishingové stránky mohou stále zachytit kódy v reálném čase

Hardwarové bezpečnostní klíče

Fyzická zařízení jako YubiKey, Google Titan a SoloKeys se zapojují do vašeho USB portu nebo se klepají přes NFC pro ověření. Hardwarové klíče používají standard FIDO2/WebAuthn, který je odolný vůči phishingu už od návrhu — klíč kryptograficky ověřuje doménu webové stránky před ověřením, čímž je nemožné, aby phishingové stránky zachytávaly. Google vyžaduje, aby všichni zaměstnanci používali hardwarové klíče a od implementace nehlásil žádné úspěšné phishingové útoky. Klíče stojí $25-70 a jsou nejbezpečnější dostupnou 2FA metodou.

  • Pro: Nejsilnější bezpečnost, odolné vůči phishingu, žádné baterie, fungují offline, odolné
  • Proti: Stojí $25-70, mohou se ztratit nebo zapomenout, nepodporují všechny služby

Biometrie

Skenery otisků prstů (Touch ID), rozpoznávání obličeje (Face ID) a skenery duhovky používají vaše fyzické vlastnosti jako ověřovací faktor. Biometrie je pohodlná — vždy ji máte s sebou a nelze ji zapomenout. Funguje jako druhý faktor vedle hesel na mnoha zařízeních a službách. Nicméně biometrii nelze měnit, pokud je kompromitována (na rozdíl od hesla), a může být v mnoha jurisdikcích vynucena orgány činnými v trestním řízení. Kvalita se výrazně liší mezi zařízeními.

  • Pro: Pohodlné, vždy dostupné, rychlé ověření, těžko replikovatelné
  • Proti: Nelze měnit, pokud je kompromitována, může být právně vynucena, kvalita se liší podle zařízení

Passkeys

Passkeys jsou nejnovější ověřovací standard, navržený tak, aby zcela nahradil hesla. Založené na FIDO2/WebAuthn používají passkeys kryptografii veřejného klíče — vaše zařízení ukládá soukromý klíč a služba ukládá odpovídající veřejný klíč. Ověření probíhá pomocí biometrického senzoru nebo PINu vašeho zařízení, bez hesla k psaní, phishování nebo krádeži. Apple, Google a Microsoft integrovali podporu passkey do svých operačních systémů. Passkeys se synchronizují mezi zařízeními pomocí iCloud Keychain, Google Password Manager nebo dalších poskytovatelů, kombinujíc bezpečnost hardwarových klíčů s pohodlností biometrie.

  • Pro: Odolné vůči phishingu, žádná hesla k zapamatování, synchronizace mezi zařízeními, rychlé
  • Proti: Relativně nové, ještě ne univerzálně podporované, obavy z uzamčení platformy se synchronizovanými passkeys

Nejlepší postupy 2FA

  1. Aktivujte 2FA na svém e-mailovém účtu jako první — je hlavním klíčem ke všem vašim dalším účtům. Pokud někdo kompromituje váš e-mail, může resetovat hesla na všech službách s ním spojených. Váš e-mail je nejdůležitějším účtem k ochraně 2FA.
  2. Používejte ověřovací aplikaci místo SMS kdykoli je to možné. TOTP aplikace jsou imunní vůči SIM swappingu a útokům SS7. Pokud služba nabízí pouze 2FA založené na SMS, použijte ji přesto — SMS 2FA je stále dramaticky lepší než žádné 2FA vůbec.
  3. Uchovávejte záložní kódy na bezpečném, odděleném místě. Uložte je do správce hesel (jiného než toho chráněného 2FA), vytiskněte je a uchovávejte v trezoru nebo si je napište na papír uchovávaný bezpečně. Nikdy neukládejte záložní kódy do nešifrované poznámky na stejném zařízení jako váš autentikátor.
  4. Zvažte hardwarový bezpečnostní klíč pro své nejkritičtější účty — e-mail, bankovnictví, cloudové úložiště a správce hesel. YubiKey 5 NFC ($50) funguje s USB-A, USB-C a NFC, pokrývající prakticky každé zařízení. Zaregistrujte dva klíče na účet, abyste měli zálohu.
  5. Pravidelně auditujte, které účty mají aktivované 2FA. Použijte správce hesel pro sledování. Pořadí priorit: e-mail, bankovní a finanční služby, cloudové úložiště, sociální média, nákupní stránky s uloženými platebními metodami a jakékoli pracovní nebo profesionální účty.

Jak nastavit 2FA

Nastavení 2FA zabere méně než pět minut na účet. Zde je postup pro 2FA založené na ověřovací aplikaci, což je doporučená metoda pro většinu lidí:

  1. Otevřete nastavení zabezpečení:Přejděte do nastavení zabezpečení svého účtu. Hledejte "Dvoufaktorové ověření," "Dvoufázové ověření," nebo "Zabezpečení přihlášení." Na Google přejděte na myaccount.google.com > Security > 2-Step Verification. Na Apple přejděte na Settings > [Vaše jméno] > Sign-In & Security.
  2. Vyberte 2FA metodu:Vyberte svou 2FA metodu. Vyberte "Authenticator App" pro nejlepší rovnováhu mezi bezpečností a pohodlím. Pokud nemáte, nainstalujte TOTP aplikaci — Google Authenticator, Authy nebo Ente Auth jsou všechny dobré volby. Authy a Ente Auth nabízejí šifrovanou cloudovou zálohu vašich kódů.
  3. Naskenujte QR kód:Naskenujte QR kód zobrazený na obrazovce pomocí vaší ověřovací aplikace. Aplikace vygeneruje 6místný kód, který se obnovuje každých 30 sekund. Zadejte aktuální kód pro ověření, že nastavení funguje správně.
  4. Uložte záložní kódy:Uložte své záložní kódy okamžitě. Většina služeb poskytuje jednorázové obnovovací kódy, které vám umožní znovu získat přístup, pokud ztratíte své ověřovací zařízení. Uložte je do správce hesel, vytiskněte je nebo si je zapište a uchovávejte je na bezpečném místě odděleném od vašich zařízení. Bez záložních kódů by ztráta telefonu mohla trvale vyloučit váš účet.

Často kladené otázky

Proto jsou záložní kódy nezbytné. Když nastavíte 2FA, většina služeb poskytuje obnovovací kódy — kódy na jedno použití, které obcházejí 2FA. Použijte jeden k získání přístupu, poté nastavte 2FA znovu na novém zařízení. Pokud používáte Authy nebo Ente Auth, vaše kódy jsou zálohovány v šifrovaném cloudovém úložišti a mohou být obnoveny na novém zařízení. Google Authenticator nyní také podporuje cloudovou zálohu. Pokud nemáte záložní kódy a žádnou metodu obnovy, budete muset projít procesem obnovy účtu služby, který může trvat dny nebo týdny a vyžadovat ověření identity.

Absolutně ano. Navzdory zranitelnostem vůči SIM swappingu a útokům SS7 blokuje SMS 2FA převážnou většinu automatizovaných útoků. Výzkum Google ukázal, že zastavuje 100% automatizovaných botů a 96% hromadného phishingu. Realistický model hrozeb pro většinu lidí nezahrnuje cílený SIM swapping — to je hlavně riziko pro vysoce hodnotné cíle jako držitelé kryptoměn a veřejné osobnosti. Pokud služba nabízí pouze SMS 2FA, aktivujte ji. Jakékoli 2FA je dramaticky lepší než žádné 2FA.

Žádná 2FA metoda není 100% nerozbitná, ale obtížnost se enormně liší. SMS kódy mohou být zachyceny pomocí SIM swappingu. TOTP kódy mohou být phishovány v reálném čase pomocí sofistikovaných útoků, které předávají kódy na skutečnou přihlašovací stránku. Nicméně hardwarové bezpečnostní klíče používající FIDO2 jsou odolné vůči phishingu už od návrhu — klíč kryptograficky ověřuje doménu webové stránky, čímž je phishing nemožný. Passkeys dědí stejnou ochranu. Pro většinu lidí poskytuje TOTP-založená 2FA více než dostatečnou ochranu proti realistickým hrozbám.

Ideálně ano, ale upřednostněte strategicky. Váš e-mailový účet je nejkritičtější — je mechanismem obnovy pro vše ostatní. Dále aktivujte 2FA na bankovních a finančních službách, cloudovém úložišti (Google Drive, iCloud, Dropbox), sociálních médiích, jakémkoli účtu s uloženými platebními údaji a vašem správci hesel. Účty nízké priority bez osobních údajů mohou být přeskočeny, pokud jste přetížení, ale cílem by mělo být 2FA všude.

Hardwarové bezpečnostní klíče (YubiKey, Google Titan) využívající standard FIDO2/WebAuthn jsou nejbezpečnější dostupnou formou 2FA. Jsou odolné vůči phishingu už od návrhu, vyžadují fyzické vlastnictví a nemají žádné kódy, které by mohly být zachyceny nebo předány. Passkeys nabízejí podobnou bezpečnost s přidaným pohodlím cloudové synchronizace. TOTP ověřovací aplikace jsou další nejlepší volbou — výrazně bezpečnější než SMS. SMS je nejslabší 2FA, ale stále výrazně lepší než ověřování pouze heslem.

Ano, to je jejich návrhovým záměrem. Passkeys kombinují heslo a druhý faktor do jediného kroku ověřování odolného vůči phishingu. Místo psaní hesla a poté zadávání kódu se prostě ověříte pomocí biometrického senzoru nebo PINu zařízení. Základní FIDO2 kryptografie poskytuje silnější bezpečnost než heslo + TOTP dohromady. Nicméně přijetí passkeys stále roste — ne všechny služby je zatím podporují. V přechodném období pokračujte v používání tradiční 2FA (ověřovací aplikace nebo hardwarový klíč) na službách, které passkeys ještě nepodporují.