Představte si, že klíče od firmy schováte pod rohožku a doufáte, že je nikdo nenajde. Přesně tak vypadá zabezpečení účtů postavené jen na heslech. Uniklá databáze, jediný phishingový e-mail — a útočník je uvnitř. Dobrá zpráva? Ochrana účtů má jasná, levná a velmi účinná pravidla. Pojďme si je projít tak, aby jim rozuměl každý, ne jen IT oddělení.
Proč hesla samotná nestačí
Heslo je tajemství, které sdílíte se serverem. Problém je, že tahle tajemství unikají v obřích množstvích. Databáze se kradou, lámou a prodávají — a pokud používáte stejné heslo na víc místech, stačí jediný únik a útočník zkusí stejnou kombinaci úplně všude. Tomuhle se říká credential stuffing a je to dnes nejčastější způsob, jak se cizí lidé dostávají do cizích účtů.
K tomu připočtěte phishing, kdy vám podvodná stránka heslo prostě vyloudí, a fakt, že lidé volí hesla jako „Heslo123" nebo jméno svého psa. I sebelepší heslo navíc neochrání před tím, když ho sami prozradíte na falešné přihlašovací stránce. Heslo je jeden faktor — a jeden faktor je dnes málo.
Jak vypadá heslo, které opravdu chrání
Roky nám tvrdili, že silné heslo je „Tr0ub4dor&3". Výsledek? Hesla, která si nikdo nepamatuje a počítač je zlomí překvapivě rychle. Moderní doporučení je jiné a mnohem příjemnější: délka vítězí nad složitostí. Místo nesmyslné změti znaků použijte takzvanou passphrase — čtyři až pět náhodných slov, třeba „kotva-mrkev-oblak-tramvaj". Pro člověka snadno zapamatovatelné, pro stroj prakticky neprolomitelné.
- Dlouhé — ideálně 14 a více znaků, klidně formou věty nebo několika slov.
- Unikátní — jiné heslo pro každou službu, žádné recyklování.
- Nepředvídatelné — žádná jména, data narození ani „123456".
Nejlepší heslo je takové, které si nepamatujete ani vy — protože ho za vás generuje a hlídá správce hesel.
Správce hesel: konec lepicích lístků
Mít desítky unikátních dlouhých hesel a všechna si pamatovat? Nereálné. Přesně proto vznikly správce hesel (password managery). Vygenerují silné heslo, bezpečně ho zašifrují a samy ho doplní při přihlášení. Vy si pamatujete jediné hlavní heslo, zbytek je na aplikaci.
Bonus pro firmy: týmové správce hesel umožní bezpečně sdílet přístupy mezi kolegy bez posílání hesel v e-mailu nebo chatu a po odchodu zaměstnance stačí přístup odebrat na jednom místě. Konec hesel na žlutých lístcích pod klávesnicí.
Spustit audit zdarma
Prověříme bezpečnost vaší domény — výsledek do e‑mailu.
Vícefaktorové ověření (MFA): druhá brána, kterou útočník nepřekoná
Vícefaktorové ověření (MFA, často také 2FA) přidává k heslu druhý nezávislý důkaz, že jste to opravdu vy. Princip stojí na třech kategoriích: něco, co znáte (heslo), něco, co máte (telefon, hardwarový klíč) a něco, čím jste (otisk, obličej). Útočník, který získá vaše heslo, narazí na druhou bránu, kterou už na dálku nepřekoná.
Krása MFA spočívá v tom, že mění celou logiku útoku. Dokud platí jen heslo, stačí ho jednou ukrást a dveře jsou otevřené třeba na měsíce. S druhým faktorem ale musí být útočník na místě právě teď a mít fyzicky váš telefon nebo klíč — a to z pohodlí vzdáleného útoku nejde. Z plošného, automatizovaného útoku se rázem stává cílená a nákladná operace, do které se drtivé většině útočníků nevyplatí pouštět.
| Typ MFA | Bezpečnost | Pohodlí | Vhodné pro |
|---|---|---|---|
| SMS kód | Nízká až střední | Vysoké | Lepší než nic, ne pro citlivé účty |
| Aplikace (TOTP) | Vysoká | Vysoké | Většinu firemních účtů |
| Push notifikace | Vysoká | Velmi vysoké | Běžné přihlašování zaměstnanců |
| Hardwarový klíč | Nejvyšší | Střední | Administrátory a klíčové účty |
| Passkey | Nejvyšší | Velmi vysoké | Budoucnost bez hesel |
Kde MFA nasadit nejdřív a časté výmluvy
Nemusíte zabezpečit všechno najednou. Začněte tam, kde by průnik nejvíc bolel: e-mail (přes něj se resetují ostatní hesla), administrátorské účty, firemní cloud, bankovnictví a vzdálené přístupy do sítě. Tyhle účty pokryjí drtivou většinu reálného rizika.
A teď oblíbené výmluvy. „Je to zdržování" — moderní push notifikace zabere dvě vteřiny a u známých zařízení se ani neptá. „My nejsme zajímavý cíl" — útoky jsou dnes automatizované a nevybírají si; bota nezajímá vaše jméno, jen funkční přihlašovací údaje. „Co když ztratím telefon" — proto se nastavují záložní kódy a více faktorů. Žádná z výmluv neobstojí proti tomu, co MFA zachrání.
Budoucnost bez hesel: passkeys
Hesla se pomalu, ale jistě stávají přežitkem. Nastupují passkeys — přihlášení pomocí otisku, obličeje nebo PINu vašeho zařízení, bez jediného hesla. Jsou odolné vůči phishingu (nelze je vyloudit), nedají se ukrást z databáze a přihlášení je rychlejší než kdy dřív. Velcí hráči je už podporují a postupně se rozšiřují. Není potřeba na ně skočit přes noc, ale vyplatí se s nimi počítat.
Co si odnést
- Heslo je jen jeden faktor a sám o sobě dnes nestačí.
- Délka vítězí nad složitostí — používejte dlouhé, unikátní passphrase.
- Správce hesel vyřeší zapamatování i bezpečné sdílení.
- MFA zastaví drtivou většinu útoků; nasaďte ho nejdřív na e-mail, adminy, cloud a banku.
- Mířte k passkeys — bezpečné přihlášení bez hesel.
Pomůžeme vám to nastavit
Silná hesla, správce hesel i vícefaktorové ověření za vás rádi zavedeme a budeme spravovat v rámci kybernetické bezpečnosti a správy uživatelů. Nastavíme MFA na klíčové účty, zavedeme bezpečnou správu přístupů a proškolíme váš tým. Jak na tom jste teď? Začněte naším online auditem nebo nám rovnou napište.