Dvoufaktorové – a proč jsou SMS kódy slabým článkem
25. června 2026 · 3 minuty čtení · Komentáře
Tento článek obsahuje affiliate odkazy. Pokud přes ně nakoupíte, můžeme získat provizi – bez dalších nákladů pro vás.
Dvoufaktorové ověřování je jedním z nejúčinnějších upgradů zabezpečení, které můžete provést. Ale ne všechny dvoufaktorové jsou stejné – a nejběžnější verze, ta, kterou většina služeb standardně používá, má specifickou, dobře zdokumentovanou zranitelnost, o které většina lidí neví.
Dvoufaktorová autentizace funguje tak, že vyžaduje něco, co znáte (heslo) a něco, co máte (obvykle kód). I když vám někdo ukradne heslo, bez druhého faktoru se nemůže přihlásit. Je to opravdu dobré. Otázkou je, co znamená „něco, co máte“.
Problém s SMS kódy
SMS kódy jsou odesílány na vaše telefonní číslo. Vaše telefonní číslo je řízeno vaším operátorem. A operátory lze zmanipulovat – někdy prostřednictvím sociálního inženýrství, někdy prostřednictvím přímého uplácení zaměstnanců – k převedení vašeho čísla na SIM kartu, kterou útočník ovládá. Tomu se říká výměna SIM karty.
Jakmile je vaše číslo přeneseno, každý SMS kód odeslaný na „váš“ telefon jde do zařízení útočníka. Vaše heslo a jakákoliv dvoufaktorová SMS je nyní jejich. Tímto způsobem jsou pravidelně kompromitováni vysoce hodnotné cíle – lidé s významnou kryptoměnou, manažeři, novináři.
Co použít místo toho
Ověřovací aplikace generuje časové kódy na vašem zařízení. Nejsou přenášeny přes telefonní síť – žádná výměna SIM karty je nemůže zachytit. Takto fungují aplikace jako Google Authenticator nebo Authy. NordPass také obsahuje vestavěný autentizátor, což znamená, že vaše 2FA kódy a hesla jsou uloženy ve stejném zabezpečeném trezoru.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
Dvoufaktorové se vyplatí mít i v jeho nejslabší podobě. SMS 2FA je mnohem lepší než žádná 2FA. Pokud ji však budete používat, upgradování ze SMS na aplikaci pro ověřování trvá asi dvě minuty na účet – a mezera v ochraně je značná.
Často kladené otázky
What is credential stuffing?+
Plnění pověření je, když útočníci vezmou kombinace e-mailů a hesel odhalené při jednom porušení a automaticky je zkoušejí proti jiným službám. Pokud znovu použijete hesla, narušení jednoho webu poskytne útočníkům přístup ke každému účtu se stejnými přihlašovacími údaji.
Is it safe to store all your passwords in one place?+
Ano, při použití renomovaného správce hesel. Šifrovaný trezor je mnohem bezpečnější než opakovaně používaná nebo slabá hesla. Správci hesel jako NordPass používají architekturu s nulovými znalostmi – což znamená, že ani společnost nevidí vaše uložená hesla.
What is two-factor authentication and should I use it?+
Dvoufaktorové ověření (2FA) vyžaduje druhý ověřovací krok nad rámec vašeho hesla – obvykle kód z aplikace. Používejte ověřovací aplikaci (Google Authenticator, Authy) spíše než SMS kódy, které jsou zranitelné vůči útokům s výměnou SIM karty.
