isplay:none" src="https://www.facebook.com/tr?id=1498566888174227&ev=PageView&noscript=1" />
ADVERTORIAL

Dvoufaktorové – a proč jsou SMS kódy slabým článkem

25. června 2026 · 3 minuty čtení · Komentáře

Tento článek obsahuje affiliate odkazy. Pokud přes ně nakoupíte, můžeme získat provizi – bez dalších nákladů pro vás.

Dvoufaktorové ověřování je jedním z nejúčinnějších upgradů zabezpečení, které můžete provést. Ale ne všechny dvoufaktorové jsou stejné – a nejběžnější verze, ta, kterou většina služeb standardně používá, má specifickou, dobře zdokumentovanou zranitelnost, o které většina lidí neví.

Dvoufaktorová autentizace funguje tak, že vyžaduje něco, co znáte (heslo) a něco, co máte (obvykle kód). I když vám někdo ukradne heslo, bez druhého faktoru se nemůže přihlásit. Je to opravdu dobré. Otázkou je, co znamená „něco, co máte“.

Problém s SMS kódy

SMS kódy jsou odesílány na vaše telefonní číslo. Vaše telefonní číslo je řízeno vaším operátorem. A operátory lze zmanipulovat – někdy prostřednictvím sociálního inženýrství, někdy prostřednictvím přímého uplácení zaměstnanců – k převedení vašeho čísla na SIM kartu, kterou útočník ovládá. Tomu se říká výměna SIM karty.

Jakmile je vaše číslo přeneseno, každý SMS kód odeslaný na „váš“ telefon jde do zařízení útočníka. Vaše heslo a jakákoliv dvoufaktorová SMS je nyní jejich. Tímto způsobem jsou pravidelně kompromitováni vysoce hodnotné cíle – lidé s významnou kryptoměnou, manažeři, novináři.

Dvoufaktorové metody — relativní síla
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
Aplikace Authenticator (TOTP)
Good
Real-time phishing (if attacker acts fast)
Hardwarový klíč (passkey)
Strong
Fyzická krádež klíče

Co použít místo toho

Ověřovací aplikace generuje časové kódy na vašem zařízení. Nejsou přenášeny přes telefonní síť – žádná výměna SIM karty je nemůže zachytit. Takto fungují aplikace jako Google Authenticator nebo Authy. NordPass také obsahuje vestavěný autentizátor, což znamená, že vaše 2FA kódy a hesla jsou uloženy ve stejném zabezpečeném trezoru.

Dvoufaktorové se vyplatí mít i v jeho nejslabší podobě. SMS 2FA je mnohem lepší než žádná 2FA. Pokud ji však budete používat, upgradování ze SMS na aplikaci pro ověřování trvá asi dvě minuty na účet – a mezera v ochraně je značná.

Často kladené otázky

What is credential stuffing?+

Plnění pověření je, když útočníci vezmou kombinace e-mailů a hesel odhalené při jednom porušení a automaticky je zkoušejí proti jiným službám. Pokud znovu použijete hesla, narušení jednoho webu poskytne útočníkům přístup ke každému účtu se stejnými přihlašovacími údaji.

Is it safe to store all your passwords in one place?+

Ano, při použití renomovaného správce hesel. Šifrovaný trezor je mnohem bezpečnější než opakovaně používaná nebo slabá hesla. Správci hesel jako NordPass používají architekturu s nulovými znalostmi – což znamená, že ani společnost nevidí vaše uložená hesla.

What is two-factor authentication and should I use it?+

Dvoufaktorové ověření (2FA) vyžaduje druhý ověřovací krok nad rámec vašeho hesla – obvykle kód z aplikace. Používejte ověřovací aplikaci (Google Authenticator, Authy) spíše než SMS kódy, které jsou zranitelné vůči útokům s výměnou SIM karty.

Hesla a 2FA kódy v jednom zabezpečeném trezoru
NordPass ukládá vaše hesla a generuje vaše ověřovací kódy. Jedna aplikace, jedno hlavní heslo, vše synchronizováno mezi vašimi zařízeními.
⭐ 4,5/5 · miliony chráněných hesel
Try NordPass →

Sam Feldman
Sam Feldman
"Dobrý banner nemá pevnou formu a nemá žádný vlastní význam."
Austin, TX · https://sams.blog/weekly
RELATED READING
Heslo katastrofa, na které nikdo nemyslí
Znovu použijete jedno heslo. Hackeři s tím počítají.
Správci hesel, vysvětleno pro normální lidi
Chystáte se získat přesné nastavení zabezpečení, které jsem vytvořil pro své vlastní rodiče – takové, které skutečně funguje

Většina lidí má jednu vrstvu ochrany. Chybí jim tři.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20 minut, od začátku do konce — pak běží na pozadí. Zadejte svůj email a já vám ho pošlu.

Něco se pokazilo – zkuste to prosím znovu.
Jste tam – brzy zkontrolujte svou doručenou poštu.
100% důvěrné. Z odběru se můžete kdykoli odhlásit.