Finanza.cz

Dvoufaktorové ověřování

2FA

Dvoufaktorové ověřování (zkratka 2FA, anglicky Two-Factor Authentication) je metoda potvrzení totožnosti, která vyžaduje dva samostatné důkazy z různých kategorií. Jeden faktor sám o sobě nestačí — pokud útočník získá heslo, bez druhého faktoru se do účtu nedostane. [1]

Tři kategorie faktorů

Bezpečnostní standardy rozlišují tři základní skupiny:

  • Znalost — něco, co uživatel ví: heslo, PIN, bezpečnostní otázka.
  • Vlastnictví — něco, co uživatel má: mobilní telefon (pro přijetí SMS nebo push notifikace), hardwarový bezpečnostní klíč (např. FIDO2/YubiKey), autentizační aplikace generující jednorázové kódy (TOTP).
  • Biometrie — něco, čím uživatel je: otisk prstu, sken obličeje, hlas.

Kombinace dvou faktorů ze stejné kategorie (například dvě hesla) nesplňuje definici 2FA. Každý faktor musí pocházet z jiné skupiny.

Povinnost ze zákona — PSD2 a SCA

Evropská směrnice o platebních službách PSD2 (2015/2366/EU) zavedla pojem silná autentizace zákazníka (SCA — Strong Customer Authentication). SCA vyžaduje 2FA při každém přihlášení do internetového bankovnictví a při každé elektronické platbě nad 30 EUR (nebo při překročení kumulativního limitu). [2]

Banky a platební instituce v ČR jsou povinny SCA implementovat. Výjimky existují jen pro nízkorizikové transakce (opakované platby stejnému příjemci, bezkontaktní platby do 50 EUR) a musí být ze strany banky explicitně zdůvodněny.

Metody používané v bankovnictví

Banky v ČR nejčastěji kombinují přihlašovací heslo (znalost) s jednou z těchto metod:

  • SMS kód — jednorázový kód zaslaný textovou zprávou na registrované telefonní číslo. Nejrozšířenější, ale náchylný na útok SIM swap (přenesení čísla na útočníkovu SIM bez souhlasu majitele).
  • Autentizační aplikace (TOTP) — aplikace jako Google Authenticator nebo Microsoft Authenticator generuje šestimístný kód platný 30 sekund. Funguje i bez připojení k síti, odolnější vůči phishingu než SMS.
  • Push notifikace v mobilní aplikaci banky — banka odešle do aplikace žádost o schválení; uživatel potvrdí nebo zamítne. Vyšší komfort i bezpečnost než SMS.
  • Hardwarový token — fyzické zařízení generující jednorázové kódy. Používá se spíše v podnikovém bankovnictví.

Srovnání bezpečnosti metod

SMS kódy jsou nejméně odolné — SIM swap nebo phishingový web mohou kód zachytit. Autentizační aplikace s TOTP jsou bezpečnější, protože kód není přenášen po síti. Hardwarové FIDO2 klíče jsou ze všech metod nejodolnější vůči phishingu, protože klíč ověřuje i doménu webu a falešné stránce kód nevydá.

Příklad

Přihlásíte se do internetového bankovnictví zadáním uživatelského jména a hesla (faktor: znalost). Banka odešle push notifikaci do mobilní aplikace, kde platbu potvrdíte otiskem prstu (faktor: vlastnictví + biometrie). Teprve po obou krocích je přihlášení dokončeno. Pokud útočník zná heslo, ale nemá přístup k vašemu telefonu, přihlášení se nezdaří.

Aktualizováno:

Související