OTP (One-Time Password, jednorázové heslo) je krátký kód — typicky 4–8 cifer — který platí jen krátkou dobu (30–60 sekund) a pouze pro jednu konkrétní akci (přihlášení, platba, potvrzení převodu). Banky, e-shopy a sociální sítě ho posílají SMS, generují v aplikaci (Google Authenticator) nebo generují HW token. Pro útočníka je OTP zlatý grál — pokud ho získá, obejde i silné heslo.

Jak to funguje

OTP se generuje algoritmem TOTP (Time-Based One-Time Password) nebo HOTP (HMAC-Based) ze sdíleného tajemství mezi uživatelem a serverem. Aplikační autentikátory (Google, Microsoft Authenticator) ho ukládají offline a přepočítávají každých 30 s. Banky obvykle posílají OTP přes SMS (méně bezpečné — viz SIM swap). Při legitimním přihlášení uživatel kód opíše do formuláře a server ho ověří. Útočník během vishingu pod tlakem uživatele přiměje, aby mu kód nadiktoval — a útočník ho použije do své relace.

Jak to rozpoznat

  • Někdo po telefonu vás vyzývá, abyste nadiktovali SMS kód pro ověření, že nejste podvodník.
  • Volající tvrdí, že je z banky a že kódem jen blokujete podezřelou transakci.
  • Po e-mailu vám přijde žádost o opakované zadání OTP na podezřelé URL.
  • OTP přijde i když jste se sami nepokoušeli přihlásit ani platit — někdo se vás snaží nabourat.
  • Volající chce, abyste mu kód poslali SMS zpátky nebo jiný způsob.
Reklama

Co dělat

  1. Nikdy nesdělujte OTP nikomu jinému než přímo do oficiální aplikace nebo na webu, ze kterého jste si platbu sami iniciovali.
  2. Banka ani policie OTP po telefonu nikdy nechtějí — pokud o něj žádají, je to podvod.
  3. Pokud OTP přijde nečekaně (vy jste o nic nežádali), někdo zkouší napadnout váš účet — ihned změňte heslo.
  4. Preferujte aplikační autentikátor (Google Authenticator, Authy) před SMS — SMS lze odposlouchávat při SIM swapu.
  5. Pro nejcennější účty (banka, e-mail) zvažte hardware key (YubiKey) — žádný útočník přes telefon ho nedostane.

Situace v SR

Česká bankovní asociace zveřejnila v roce 2024 statistiku — přes 70 % úspěšných vishingových útoků na klienty bank končí získáním SMS OTP kódu. Banky postupně přechází na biometrické ověření v aplikaci (face/touch ID + push notifikace) místo SMS. Pokud vám banka stále posílá OTP přes SMS, můžete v nastavení obvykle přepnout na aplikační push.

Reklama

Časté otázky

Banka volá a chce OTP — je to podvod?

Ano, vždycky. Žádná banka v ČR nikdy po telefonu neprosí o OTP kód. Pokud někdo říká, že je z banky a chce kód pro ověření, okamžitě zavěste a zavolejte do banky na číslo, které máte sami v aplikaci.

Co je rozdíl mezi SMS OTP a aplikačním autentikátorem?

SMS lze přesměrovat (SIM swap útok), aplikační autentikátor běží offline na vašem zařízení. Aplikační je bezpečnější. Banky to vědí a postupně přechází na in-app push notifikace.