MFA: Proč dnes nestačí jen silné heslo a jak nasadit vícefaktorové ověření

Každý den unikají na dark web miliony přihlašovacích údajů. Databáze ukradených hesel jsou k dispozici za pár dolarů a útočníci je systematicky zkoušejí na populárních službách a firemních systémech. Ani sebesilnější heslo, které zaměstnanec poctivě dodržuje, nepomůže, pokud ho útočník prostě koupí jako součást uniklé databáze z jiné kompromitované služby.

Microsoft uvádí, že vícefaktorové ověření blokuje více než 99,9 % automatizovaných útoků na účty. Přesto ho v roce 2025 stále nemá nasazené velká část firem. Tento článek vysvětluje, proč je MFA dnes bezpečnostní nutnost, jaké typy existují a jak ho efektivně zavést.

Proč samotné heslo nestačí

Heslo je tzv. jednofaktorová autentizace — ověřuje, co víte. Problém je, že hesla lze odcizit mnoha způsoby, aniž by o tom uživatel věděl:

• Phishing — zaměstnanec zadá heslo na věrohodně vypadající falešné přihlašovací stránce.
• Data breach — heslo unikne z databáze jiné služby, kde ho uživatel také použil.
• Credential stuffing — útočník automaticky zkouší uniklé kombinace e-mail/heslo na dalších službách.
• Malware a keyloggery — malware na infikovaném počítači zachytí heslo při psaní.
• Brute force a slovníkové útoky — u slabých nebo předvídatelných hesel stále fungují.
• Sociální inženýrství — útočník přímo získá heslo od uživatele pod záminkou IT podpory.

Dnes existují miliardy uniklých párů e-mail/heslo volně dostupných na darknetu. Nástroje jako HaveIBeenPwned.com evidují přes 13 miliard kompromitovaných záznamů. Pravděpodobnost, že hesla vašich zaměstnanců nejsou v žádné uniklé databázi, je velmi nízká.

Typy vícefaktorového ověření — od nejslabšího po nejsilnější

MFA přidává k heslu druhý (nebo třetí) faktor ověření. Faktory se dělí do tří kategorií: co víte (heslo, PIN), co máte (telefon, hardware klíč) a co jste (biometrika). Každý typ MFA má jiný level bezpečnosti a praktičnosti.

SMS kód (nejslabší, ale lepší než nic)

Jednorázový kód zaslaný SMS zprávou je nejrozšířenější formou MFA. Je snadný na nasazení a nevyžaduje od uživatele nic speciálního. Nevýhoda je, že SMS lze přesměrovat útočníkem přes SIM swapping nebo zachytit přes signalizační protokoly SS7. Navíc útočníci s pokročilými phishing kity dokáží SMS kódy zachytávat v reálném čase (real-time phishing). SMS MFA tedy doporučujeme jako minimum — je výrazně lepší než nic, ale pro kritické systémy nestačí.

TOTP aplikace (dobrý poměr bezpečnosti a komfortu)

Aplikace jako Google Authenticator, Microsoft Authenticator nebo Authy generují časově omezené jednorázové kódy (Time-based One-Time Password, TOTP) přímo na telefonu uživatele — bez připojení k síti. Kódy jsou platné typicky 30 sekund. Tento přístup je odolnější než SMS, protože kód nelze získat přesměrováním SIM karty. Nevýhodou je, že pokročilé phishing kity ho stále dokáží zachytit při real-time útoku.

Push notifikace s ověřením čísla

Aplikace (typicky Microsoft Authenticator nebo Duo) zobrazí na telefonu push notifikaci s žádostí o potvrzení přihlášení. Pokročilejší implementace zobrazí číslo, které musí uživatel vybrat na obrazovce telefonu — tím se brání tzv. MFA fatigue útokům, kdy útočník zaplaví uživatele notifikacemi, dokud jednu nepotvrdí.

Hardware bezpečnostní klíče (nejsilnější)

Fyzické USB nebo NFC klíče (YubiKey, Google Titan) implementují standard FIDO2/WebAuthn a jsou odolné vůči phishingu — klíč funguje pouze pro přihlášení na konkrétní doménu, nikoli na falešné stránce. Hardware klíče jsou zlatým standardem pro privilegované účty (administrátoři, vedení firmy, finance) a kritické systémy. Pořizovací cena je několik stovek korun na kus.

Passkeys — budoucnost autentizace

Passkeys jsou novým standardem, který kombinuje bezpečnost hardware klíče s komfortem biometrie (otisk prstu, Face ID). Přihlašování probíhá bez zadávání hesla — uživatel se autentizuje biometrikou na svém zařízení, které pak kryptograficky ověří přihlášení. Passkeys jsou nativně phishing-resistant a postupně je přijímají velké platformy (Apple, Google, Microsoft). Pro firemní prostředí jsou v roce 2025 v rané fázi nasazení, ale trend je jednoznačný.

Kde ve firmě nasadit MFA jako první — priority

Pokud MFA nasazujete postupně, začněte tam, kde kompromitace způsobí největší škodu:

1. Privilegované administrátorské účty — správci IT, cloudových služeb, databází a síťových zařízení. Kompromitace admina může způsobit totální převzetí infrastruktury.
2. VPN a vzdálený přístup — vzdálené přístupy bez MFA jsou vstupní branou pro ransomware. Toto je absolutní priorita.
3. E-mail a M365/Google Workspace — kompromitovaný firemní e-mail umožňuje útočníkovi impersonovat zaměstnance, přistupovat k datům a spouštět Business Email Compromise útoky.
4. Cloudové aplikace a SaaS — CRM, ERP, HR systémy a další aplikace s citlivými daty.
5. Všechny ostatní firemní účty — finančním přínosem je ochránit každý účet, ne jen ty kritické.

Doporučení pro nasazení MFA ve firmě

Úspěšné zavedení MFA vyžaduje technické i procesní kroky:

• Začněte pilotním projektem na malé skupině uživatelů, otestujte procesy a vyřešte výjimky (ztracený telefon, cestování).
• Připravte uživatele — komunikujte proč, ne jen co. Lidé lépe přijmou změnu, kdy rozumí jejímu smyslu.
• Nastavte záchranné mechanismy pro případ ztráty druhého faktoru (záložní kódy, alternativní způsob ověření přes IT oddělení).
• Zakažte legacy autentizační protokoly (Basic Auth, IMAP bez MFA), které MFA obchází.
• Zvažte podmíněný přístup (Conditional Access) — MFA vyžadujte vždy při přihlašování z neznámého zařízení nebo neobvyklé lokality.

MFA je jedním ze základních pilířů bezpečnostní architektury popsané v principu Zero Trust. Pokud potřebujete pomoct s návrhem a nasazením MFA ve vaší organizaci, kontaktujte specialisty SecureOn.cz — rádi vám navrhneme řešení odpovídající vašim potřebám a technologickému prostředí.