Dvoufaktorové ověřování (2FA) má dvě hlavní formy: SMS kód a aplikační autentikátor. Obě fungují, ale aplikační je výrazně bezpečnější — chrání před SIM swap útokem, který je v 2025 reálné riziko. Tady je rozdíl, výhody a nevýhody.
SMS 2FA — jak funguje
Při přihlášení vám systém pošle krátký kód (4–8 cifer) na telefonní číslo. Kód má omezenou platnost (typicky 5 minut). Vy ho opíšete do formuláře. Výhody: jednoduché, funguje na každém telefonu (i tlačítkovém). Nevýhody: kód lze odposlechnout (SIM swap útok), funguje jen pokud máte signál, závislé na operátorovi.
Aplikační 2FA — jak funguje
Při zapnutí 2FA aplikace (Google Authenticator, Microsoft Authenticator, Authy) získá tajný klíč. Aplikace pak každých 30 vteřin generuje 6-ciferný kód, který se shoduje se serverem (TOTP algoritmus). Vy kód opíšete při přihlašování. Výhody: kód je v telefonu lokálně, neposílá se přes síť. Nevýhody: musíte mít specifickou aplikaci, při ztrátě telefonu potřebujete recovery kódy.
Push notifikace 2FA — třetí varianta
Některé služby (banky v Česku, Microsoft, Google) používají push notifikaci místo kódu — na telefon přijde upozornění 'Někdo se přihlašuje, je to vy?'. Klepnete 'Ano' nebo 'Ne'. Výhoda: ještě pohodlnější. Nevýhoda: zranitelné na MFA fatigue útok — viz MFA fatigue.
Doporučení pro různé scénáře
Pro běžné účty (sociální sítě, e-shopy): aplikační 2FA stačí. Pro e-mail a banku: aplikační 2FA + recovery kódy v trezoru. Pro účty s vysokou hodnotou (krypto wallet, podnikový e-mail): hardware klíč (YubiKey 700–1500 Kč) — fyzická obrana, kterou žádný hacker neobejde.