Firmy sa dnes radi potľapkávajú po pleci a tvrdia: „Máme zapnuté MFA overenie, sme úplne safe.“ Lenže pravda je taká, že medzi klasickým „heslo + SMS kód“ a hardvérovými riešeniami ako sú FIDO2 bezpečnostné kľúče je bezpečnostná priepasť asi taká veľká, ako medzi hrdzavým visacím zámkom z tržnice a titánovým trezorom v národnej banke.
V roku 2026 už jednoducho nestačí mať zapnutú „hocijakú“ dvojfaktorovku. Rozdiel medzi klasickým MFA a moderným phishing-resistant riešením (odolným voči phishingu) je veľmi konkrétny. V praxi doslova rozhoduje o tom, či si útočník tvoj účet zoberie ako malinu, alebo či odíde s plačom naprázdno. Poďme sa pozrieť na to, prečo je tvoja súčasná ochrana pravdepodobne deravá ako ementál.
Podľa NIST SP 800‑63B (Digital Identity Guidelines) je phishing‑odolná autentifikácia taká, ktorá zabraňuje úniku autentifikačných tajomstiev a ich zneužitiu na podvodných stránkach. NIST SP 800‑63B síce formálne platí pre federálne úrady v USA, ale jeho princípy (úrovne istoty autentifikácie, odporúčania k MFA a phishing‑resistant metódam) dnes preberajú aj európske organizácie – či už dobrovoľne, alebo ako referenčný štandard k rámcom, ako je NIS2 a odporúčania ENISA.
1. Prečo heslo + „nejaké MFA“ už prestáva stačiť
Dlhé roky sme žili v ilúzii, že akonáhle si k heslu pridáme druhý krok, sme nehacknuteľní. (A ak si náhodou doteraz žil v presvedčení, že ťa zachráni aspoň tvoj 15-miestny zhluk znakov s mriežkou na konci, rýchlo si prečítaj, prečo silné heslo už dávno nestačí). Posledné roky však priniesli vlnu sofistikovaných útokov, ktoré staré formy overenia obchádzajú s desivou ľahkosťou:
- SMS a hlasové kódy: Tieto metódy sa dnes už bežne obchádzajú cez techniky ako SIM swapping (kde útočník prevezme tvoje telefónne číslo), zneužitie starých zraniteľností v mobilných sieťach (SS7), alebo primitívne sociálne inžinierstvo priamo v call centrách operátorov.
- Authenticator apky (TOTP): Myslíš si, že šesťmiestny kód z Google Authenticatoru je top? Omyl. Tieto kódy sú bežne kradnuté cez takzvané phishing proxy (odborne Adversary-in-the-Middle / AiTM). Obeť zadá svoje heslo aj kód z apky na falošnú stránku, a tá ho v zlomku sekundy prepošle na tú legitímnu a ukradne ti prihlásenie.
- Push notifikácie: Vyskočí ti na mobile okienko „Prihlasujete sa? Áno/Nie“. Znie to super, až kým sa nestaneš obeťou MFA fatigue (únavy z MFA). Útočník ti o tretej ráno pošle 50 takýchto notifikácií za sebou. Ty z frustrácie a v polospánku nakoniec klikneš na „Approve“ (Schváliť), len aby ten telefón už konečne stíchol. A je vymaľované.
Práve preto organizácie ako NIST (Národný inštitút štandardov a technológií v USA) a CISA začali masívne tlačiť do popredia pojem phishing-resistant MFA. A na samom vrchole tejto kategórie trónia práve FIDO2 bezpečnostné kľúče a technológia WebAuthn.
2. Ako funguje FIDO2 a prečo je to úplne iný level
FIDO2 (a jeho softvérový bratranec známy ako passkeys) mení hru v dvoch absolútne kľúčových a geniálnych bodoch. (Len tak mimochodom, všimol si si už, že na túto vlnu naskakujú aj tí najväčší hráči? Viac o tom nájdeš v našom článku, ako Microsoft končí s heslami a prechádza na passkeys).
- Žiadne heslá, len asymetrická kryptografia: Namiesto toho, aby si si pamätal krkolomné heslá, používa matematiku. Každý tvoj účet má svoj unikátny pár kľúčov. Privátny kľúč zostáva bezpečne uzamknutý priamo v tvojom fyzickom zariadení (napríklad v USB kľúči ako YubiKey). Verejný kľúč sa nahrá na server služby (napr. do Googlu).
- Origin Binding (Väzba na doménu): Toto je tá najväčšia mágia. Pri prihlasovaní nepíšeš žiadne heslo ani neopisuješ žiadny kód. Služba pošle tvojmu zariadeniu „výzvu“ a tvoj kľúč ju kryptograficky podpíše. Dôležité ale je, že tento podpis je napevno naviazaný na konkrétnu doménu.
FIDO2 a passkeys výrazne znižujú riziko phishingu a prevzatia účtu, ale žiadna technológia ho neeliminuje na absolútnu nulu – hlavne ak útočník obíde autentifikáciu na úrovni identity providerov alebo zneužije už existujúcu reláciu.
Čo to znamená v ľudskej reči? Útočník nemá čo „odchytiť“. Neexistuje žiadne heslo, OTP kód ani SMS-ka, ktorú by mohol prečítať a použiť znova. A čo je najlepšie? Aj keby ťa útočník oklamal a ty by si klikol na dokonalú kópiu prihlasovacej stránky Microsoftu (napríklad m1crosoft.com), tvoje FIDO2 zariadenie si prečíta adresu v prehliadači, zistí, že to nie je originálna doména, a povie: „Kámo, tu ja nič nepodpisujem.“ Útok končí. Preto sú dnes FIDO2 bezpečnostné kľúče neoficiálnym gold standardom v kyberbezpečnosti.
3. Reálne odstrašujúce príklady: Kde klasické MFA kompletne skolabovalo
Aby si pochopil, že toto nie je len teória z IT príručiek, poďme sa pozrieť na to, ako zlyháva bežné dvojfaktorové overenie v reálnom svete korporátov aj bežných ľudí. (A mimochodom, ak chceš vedieť, aké ďalšie fatálne kiksy používatelia pri 2FA robia, určite nevynechaj môj starší článok o najčastejších chybách pri dvojfaktorovom overovaní).
3.1. SMS kód: SIM swap a „volal mi operátor“
Typický scenár z posledných rokov, ktorý stál niektorých ľudí celoživotné úspory v kryptomenách: Útočník si zistí základné údaje obete (meno, telefónne číslo, kúsok adresy z nejakého úniku dát). Zavolá na zákaznícku linku operátora, zahrá tam divadielko o ukradnutom telefóne a sociálnym inžinierstvom vybaví vydanie duplikátu SIM karty (tzv. SIM swap). V tej chvíli obeti zhasne signál na telefóne. Útočník si dá do svojho mobilu novú SIMku, klikne na „Zabudnuté heslo“ na tvojom Google či bankovom účte, a SMS kódy na reset hesla mu začnú veselo pípať. Organizácia sa mohla aj rozkrájať, že mala zapnuté „MFA“, no útočník účet prevzal. SMSky sú jednoducho deravé.
3.2. TOTP apka: AiTM phishing proxy
Predstav si modernú phishingovú kampaň. Útočníci používajú reverzné proxy – akéhosi neviditeľného prostredníka medzi vami a legitímnou stránkou. Obeť otvorí odkaz z e-mailu. Stránka vyzerá na pixel presne ako Microsoft 365. Zadá login, zadá heslo. Stránka si vypýta šesťmiestny kód z Authenticator apky. Obeť ho poslušne opíše. V tej istej nanosekunde proxy server tento kód zoberie, pošle ho skutočnému Microsoftu, získa platnú „session cookie“ (prihlasovaciu sušienku) a útočník je v systéme. Aj tu bolo MFA overenie formálne zapnuté, ale nebolo odolné voči phishingu. Kód sa dal prečítať a použiť.
3.3. Push notifikácie: Teror menom MFA fatigue
Tento útok dostal na kolená už nejednu nadnárodnú korporáciu (vrátane Uberu či Cisca). Zamestnancovi IT oddelenia začnú v noci chodiť desiatky notifikácií: „Pokus o prihlásenie. Schváliť?“ Pípa to na hodinkách, vibruje to na mobile. Útočníci presne počítajú s tým, že unavený a frustrovaný človek to nakoniec jednoducho „odklepne“, len aby mal konečne pokoj a mohol spať. A hádajte čo? Opakovane to funguje.
4. FIDO2 v praxi: Ako veľmi to reálne pomáha?
Obrovské firmy ako Google, GitHub či Cloudflare, ktoré vo vnútri plošne nasadili FIDO2 bezpečnostné kľúče, reportovali po čase šokujúce výsledky. Dramatický pokles kompromitácií účtov cez phishing. V niektorých prípadoch to kleslo prakticky na nulu pri účtoch, kde boli hardvérové kľúče povinné.
Kľúčové je uvedomiť si, že útočník zrazu nevie obeť „ukecať“. Nevie jej zavolať a povedať: „Prečítajte mi kód, ktorý vám práve prišiel,“ pretože používateľ žiadny kód nevidí. Passkey alebo FIDO login jednoducho nejde zneužiť na inej doméne a ani ho nevie odchytiť tá hnusná AiTM proxina, pretože kryptografický podpis má v sebe vpálenú informáciu o pôvodnej stránke.
Samozrejme, nechceme tu tvrdiť, že ide o mágiu bez problémov. V IT svete stále ostávajú výzvy: ako spravovať recovery (obnovu) pri strate kľúča, čo robiť so starými legacy systémami, ktoré WebAuthn vôbec nepodporujú, či fakt, že kľúč si musíš fyzicky kúpiť. Ale z pohľadu priamych útokov na prihlasovanie je to dnes pre hackerov ten najťažší možný cieľ.
5. Veľká porovnávacia tabuľka: Heslo vs. SMS vs. Apka vs. Biometria vs. FIDO2
Aby v tom mali jasno aj tí, ktorí nemajú radi dlhé texty, tu je ultimátne porovnanie toho, ako ťa jednotlivé metódy (ne)chránia.
| Metóda overenia | Odolnosť proti phishingu | Odolnosť proti AiTM proxy | Typické vektory útokov | Pohodlie pre používateľa | Náročnosť nasadenia pre firmu |
|---|---|---|---|---|---|
| Len heslo | Veľmi slabá | Nulová (stačí zadať) | Credential stuffing, únik DB, brute-force, phishing. | Vysoké, ale problém so silou a recykláciou hesiel. | Nízka (ale extrémne riziková a zastaraná). |
| SMS kód (2FA) | Slabá (kód opíšeš aj na fake webe) | Nízka (kód proxy ľahko zachytí) | SIM swap, SS7 zraniteľnosti, bežný phishing. | Stredná (potrebuje mobilný signál). | Stredná (často už predpripravené v službách). |
| Authenticator (TOTP) | Stredná (lepšie než SMS) | Nízka-Stredná (kód sa dá zneužiť online) | Phishing proxy, krádež QR kódu, malware v mobile. | Stredná (nutné inštalovať apku a zálohovať). | Stredná (štandardný enterprise 2FA prístup). |
| Push notifikácie | Stredná (potvrdenie na mobile) | Nízka (stačí jeden klik od obete) | MFA fatigue (spamovanie žiadostí), social engineering. | Vysoké (stačí 1 klik), no obrovské riziko omylu. | Stredná (integračne celkom jednoduché). |
| Biometria (bez FIDO) | Veľmi rôzna | Podobné ako heslo / MFA | Spoofing (falošné odtlačky/fotky), zraniteľné lokálne senzory. | Veľmi pohodlné. | Často už integrované priamo v zariadeniach. |
| FIDO2 / Passkeys | Vysoká (Phishing-resistant) | Veľmi vysoká (Origin binding) | Cielené fyzické útoky, krádež zariadenia, útok na proces obnovy hesla. | Od strednej po vysokú (biometrický unlock kľúča). | Vyššia (vyžaduje WebAuthn a nastavenie recovery). |
6. Ako to preložiť do praxe pre firmy (Záver pre adminov)
Ak tento článok číta človek s rozhodovacou právomocou (decision-maker) vo firme, pointu môžeme zhrnúť veľmi tvrdo, no pravdivo:
- „Heslo + SMS“ už dnes patrí do kategórie „splnili sme zákonné minimum“, ale rozhodne nie do kategórie „kybernetická bezpečnosť“.
- TOTP apky a push notifikácie sú určite oveľa lepšie než nič. Vytvárajú pre útočníka prekážku navyše. Proti moderným phishingovým a AiTM kampaniam sú to však len rýchlostné retardéry, nie konečné riešenie a betónová stena.
- FIDO2 / passkeys sú aktuálne cieľový stav. Minimálne pre účty s kriticky vysokou hodnotou – to znamená vaši doménoví admini, C-level manažment, prístupy do cloudových konzol (AWS/Azure) a systémy s finančnými údajmi.
Aj štátne inštitúcie to už prestali riešiť len na úrovni „nejaké MFA overenie sme zapli“. Federálna smernica OMB M‑22‑09 (Federal Zero Trust Strategy) vyžaduje, aby agentúry nasadili phishing‑odolné MFA a pre svoje systémy používateľom ponúkli možnosť využiť phishing‑resistant autentifikáciu – typicky FIDO2/WebAuthn alebo PIV smart karty. V Európskej únii síce OMB M‑22‑09 neplatí, ale podobný smer udáva NIS2 a sprievodné odporúčania ENISA, ktoré pri ochrane kritických služieb stále častejšie odporúčajú phishing‑resistant MFA, vrátane FIDO2 passkeys.
Z pohľadu riadenia rizík by každá moderná firma mala začať FIDO2 pilotovať aspoň pre spomínané privilegované účty. Je čas prestať sa hrať na to, že „MFA sme nejako zapli a fajka zhasla“, a začať riešiť, aby bolo MFA overenie reálne odolné voči phishingu aspoň tam, kde to organizáciu bolí najviac.
A malá rada na záver: Nezabudni si preškoliť helpdesk. Darmo budeš mať najdrahšie hardvérové kľúče na svete, ak útočník zavolá na IT podporu, povie, že si zabudol kľúč doma, a študent na helpdesku mu bez overenia totožnosti vyresetuje celé prístupy dočasným maily s novým heslom.
🔥 A teraz úprimne vy do komentárov! 🔥 Tak sa pochváľte – ako to máte vo firme nastavené vy? Používate ešte stále prehistorické SMS kódy a dúfate, že sa nič nestane? Má niekto z vás na kľúčoch zavesený reálny hardvérový kľúč, alebo aspoň používate Passkeys v mobile? Zažili ste už niekedy to, že vás otravná notifikácia (MFA fatigue) budila o tretej ráno a mali ste sto chutí to jednoducho „Odkliknúť“? Hoďte mi vaše skúsenosti s IT bezpečnosťou dole do komentárov! 👇
