Představte si, že klíče od firmy schováte pod rohožku a doufáte, že je nikdo nenajde. Přesně tak vypadá zabezpečení účtů postavené jen na heslech. Uniklá databáze, jediný phishingový e-mail — a útočník je uvnitř. Dobrá zpráva? Ochrana účtů má jasná, levná a velmi účinná pravidla. Pojďme si je projít tak, aby jim rozuměl každý, ne jen IT oddělení.

Proč hesla samotná nestačí

Heslo je tajemství, které sdílíte se serverem. Problém je, že tahle tajemství unikají v obřích množstvích. Databáze se kradou, lámou a prodávají — a pokud používáte stejné heslo na víc místech, stačí jediný únik a útočník zkusí stejnou kombinaci úplně všude. Tomuhle se říká credential stuffing a je to dnes nejčastější způsob, jak se cizí lidé dostávají do cizích účtů.

K tomu připočtěte phishing, kdy vám podvodná stránka heslo prostě vyloudí, a fakt, že lidé volí hesla jako „Heslo123" nebo jméno svého psa. I sebelepší heslo navíc neochrání před tím, když ho sami prozradíte na falešné přihlašovací stránce. Heslo je jeden faktor — a jeden faktor je dnes málo.

ℹ️
Na webu haveibeenpwned.com si zdarma ověříte, jestli váš e-mail figuruje v některém ze známých úniků dat. Pokud ano (a to je překvapivě pravděpodobné), je nejvyšší čas změnit hesla a zapnout vícefaktorové ověření.

Jak vypadá heslo, které opravdu chrání

Roky nám tvrdili, že silné heslo je „Tr0ub4dor&3". Výsledek? Hesla, která si nikdo nepamatuje a počítač je zlomí překvapivě rychle. Moderní doporučení je jiné a mnohem příjemnější: délka vítězí nad složitostí. Místo nesmyslné změti znaků použijte takzvanou passphrase — čtyři až pět náhodných slov, třeba „kotva-mrkev-oblak-tramvaj". Pro člověka snadno zapamatovatelné, pro stroj prakticky neprolomitelné.

  • Dlouhé — ideálně 14 a více znaků, klidně formou věty nebo několika slov.
  • Unikátní — jiné heslo pro každou službu, žádné recyklování.
  • Nepředvídatelné — žádná jména, data narození ani „123456".
Nejlepší heslo je takové, které si nepamatujete ani vy — protože ho za vás generuje a hlídá správce hesel.

Správce hesel: konec lepicích lístků

Mít desítky unikátních dlouhých hesel a všechna si pamatovat? Nereálné. Přesně proto vznikly správce hesel (password managery). Vygenerují silné heslo, bezpečně ho zašifrují a samy ho doplní při přihlášení. Vy si pamatujete jediné hlavní heslo, zbytek je na aplikaci.

Bonus pro firmy: týmové správce hesel umožní bezpečně sdílet přístupy mezi kolegy bez posílání hesel v e-mailu nebo chatu a po odchodu zaměstnance stačí přístup odebrat na jednom místě. Konec hesel na žlutých lístcích pod klávesnicí.

💡
Tip: nezačínejte revolucí. Nasaďte správce hesel nejdřív na nejdůležitější účty (e-mail, banka, firemní cloud) a postupně přidávejte zbytek. Během týdne zjistíte, že už se k heslům vlastně nevracíte.

Spustit audit zdarma

Prověříme bezpečnost vaší domény — výsledek do e‑mailu.

Vícefaktorové ověření (MFA): druhá brána, kterou útočník nepřekoná

Vícefaktorové ověření (MFA, často také 2FA) přidává k heslu druhý nezávislý důkaz, že jste to opravdu vy. Princip stojí na třech kategoriích: něco, co znáte (heslo), něco, co máte (telefon, hardwarový klíč) a něco, čím jste (otisk, obličej). Útočník, který získá vaše heslo, narazí na druhou bránu, kterou už na dálku nepřekoná.

Krása MFA spočívá v tom, že mění celou logiku útoku. Dokud platí jen heslo, stačí ho jednou ukrást a dveře jsou otevřené třeba na měsíce. S druhým faktorem ale musí být útočník na místě právě teď a mít fyzicky váš telefon nebo klíč — a to z pohodlí vzdáleného útoku nejde. Z plošného, automatizovaného útoku se rázem stává cílená a nákladná operace, do které se drtivé většině útočníků nevyplatí pouštět.

99,9 %automatizovaných útoků na účty zastaví už samotné zapnutí MFA
< 5 minzabere zapnutí MFA na klíčovém účtu
81 %průniků souvisí se slabým nebo ukradeným heslem
Typ MFABezpečnostPohodlíVhodné pro
SMS kódNízká až středníVysokéLepší než nic, ne pro citlivé účty
Aplikace (TOTP)VysokáVysokéVětšinu firemních účtů
Push notifikaceVysokáVelmi vysokéBěžné přihlašování zaměstnanců
Hardwarový klíčNejvyššíStředníAdministrátory a klíčové účty
PasskeyNejvyššíVelmi vysokéBudoucnost bez hesel

Kde MFA nasadit nejdřív a časté výmluvy

Nemusíte zabezpečit všechno najednou. Začněte tam, kde by průnik nejvíc bolel: e-mail (přes něj se resetují ostatní hesla), administrátorské účty, firemní cloud, bankovnictví a vzdálené přístupy do sítě. Tyhle účty pokryjí drtivou většinu reálného rizika.

A teď oblíbené výmluvy. „Je to zdržování" — moderní push notifikace zabere dvě vteřiny a u známých zařízení se ani neptá. „My nejsme zajímavý cíl" — útoky jsou dnes automatizované a nevybírají si; bota nezajímá vaše jméno, jen funkční přihlašovací údaje. „Co když ztratím telefon" — proto se nastavují záložní kódy a více faktorů. Žádná z výmluv neobstojí proti tomu, co MFA zachrání.

⚠️
Pozor: ne všechny druhé faktory jsou stejně silné. SMS se dá odchytit nebo přesměrovat (tzv. SIM swapping). Kde to jde, dejte přednost ověřovací aplikaci nebo hardwarovému klíči — zvlášť u administrátorských a finančních účtů.

Budoucnost bez hesel: passkeys

Hesla se pomalu, ale jistě stávají přežitkem. Nastupují passkeys — přihlášení pomocí otisku, obličeje nebo PINu vašeho zařízení, bez jediného hesla. Jsou odolné vůči phishingu (nelze je vyloudit), nedají se ukrást z databáze a přihlášení je rychlejší než kdy dřív. Velcí hráči je už podporují a postupně se rozšiřují. Není potřeba na ně skočit přes noc, ale vyplatí se s nimi počítat.

Co si odnést

  • Heslo je jen jeden faktor a sám o sobě dnes nestačí.
  • Délka vítězí nad složitostí — používejte dlouhé, unikátní passphrase.
  • Správce hesel vyřeší zapamatování i bezpečné sdílení.
  • MFA zastaví drtivou většinu útoků; nasaďte ho nejdřív na e-mail, adminy, cloud a banku.
  • Mířte k passkeys — bezpečné přihlášení bez hesel.

Pomůžeme vám to nastavit

Silná hesla, správce hesel i vícefaktorové ověření za vás rádi zavedeme a budeme spravovat v rámci kybernetické bezpečnosti a správy uživatelů. Nastavíme MFA na klíčové účty, zavedeme bezpečnou správu přístupů a proškolíme váš tým. Jak na tom jste teď? Začněte naším online auditem nebo nám rovnou napište.