V roce 2020 hackeři zastavili největší americký ropovod. Vstupní bod: jedno heslo bez druhého faktoru.
V roce 2023 skupina Scattered Spider za deset minut phishingového telefonátu ovládla síť hotelového impéria za 100 milionů dolarů. Brána: helpdesk bez ověření identity.
Microsoft, který MFA aktivně prosazuje, spočítal, že toto jedno opatření zabraňuje 99,9 % automatizovaných útoků na účty.
A přesto: ve středních a menších firmách má MFA nasazené jen zhruba třetina organizací. V těch největších je to přes 87 %. Mezera je obrovská – a zákon č. 264/2025 Sb. ji teď chce uzavřít.
Co zákon říká: přesně a bez zbytečného balastu
Vyhláška 410/2025 Sb. (nižší povinnosti, §8 odst. 2) a vyhláška 409/2025 Sb. (vyšší povinnosti, §19 odst. 2) říkají totéž:
Povinná osoba pro ověření identity administrátorů, uživatelů a technických aktiv využívá autentizační mechanismus, který je založen na vícefaktorové autentizaci s alespoň dvěma různými typy faktorů, nebo využívá kontinuální autentizaci na modelu nulové důvěry.
Dva různé typy faktorů. Ne dvě hesla. Ne PIN a druhý PIN. Kombinace z kategorií: co znáte (heslo, PIN), co máte (telefon, hardware token, karta), kdo jste (biometrie).
Zákon zároveň počítá s přechodným obdobím. Pokud MFA ještě nemáte nasazené všude, vyhláška 409/2025 §19 odst. 3 pro vyšší režim explicitně vyžaduje vést evidenci technických aktiv, účtů a autentizačních mechanismů, které MFA požadavky nesplňují – a k tomu odůvodnění. Nejde o „nevadí, to se dořeší", ale o strukturovaný a zdokumentovaný přechod.
A ještě jedna věc, která se v praxi snadno přehlédne: zákon vyžaduje MFA nejen pro uživatele, ale explicitně i pro technická aktiva – tedy systémy, servery, API. Mezistrojová komunikace není výjimka.
Přehled metod: co pro koho funguje
MFA není jedna věc. Je to architektura s několika vrstvami a spoustou nástrojů. Zde je přehled, co se v praxi nasazuje:
Autentizační aplikace (TOTP)
Google Authenticator, Microsoft Authenticator, Authy. Generují jednorázový šestimístný kód každých 30 sekund (Time-based One-Time Password). Zdarma, bez závislosti na mobilní síti, funguje i v letadlovém režimu. Zlatý standard pro firemní použití – 95 % zaměstnanců, kteří MFA mají, používá právě softwarové řešení tohoto typu.
Pro koho: prakticky všichni uživatelé, přístupy k e-mailu, VPN, cloudovým aplikacím.
Push notifikace
Žádný kód – jen tlačítko „Schválit" nebo „Odmítnout" na telefonu. Microsoft Authenticator, Duo Security. Snadné pro uživatele, ale pozor na MFA únavu (útočník opakovaně posílá push notifikace v naději, že uživatel ze zoufalství klikne „Schválit" – skutečný útokový vektor, který stojí za zmínku).
Pro koho: pohodlné řešení pro koncové uživatele s chytrým telefonem.
SMS/hovor (OTP)
Jednorázový kód zaslaný SMS nebo hlasovým hovorem. Nejrozšířenější metoda globálně (56 % organizací ji podporuje), ale technicky nejslabší – zranitelná vůči SIM swappingu a SS7 útokům. Zákon nevylučuje SMS jako druhý faktor, ale bezpečnostní komunita ji považuje za záchrannou síť, ne primární metodu.
Pro koho: vhodná jako záložní nebo pro méně citlivé přístupy; pro administrátory a privilegované účty nedostatečná.
Hardware tokeny (FIDO2/WebAuthn)
YubiKey, Feitian a další fyzické zařízení připojované přes USB nebo NFC. Nejodolnější vůči phishingu – při přihlašování ověřuje i origin URL, takže phishingová stránka útok nezachytí. CISA i NÚKIB doporučují FIDO2 pro privilegované a administrátorské přístupy.
Pro koho: IT administrátoři, privilegované účty, vzdálený přístup k produkci. Cena tokenu typicky 30–90 EUR/kus (základní modely od ~27 EUR, YubiKey 5 řada od ~55 EUR).
SSO (Single Sign-On) s MFA
Okta, Azure AD/Entra ID, Google Workspace. Uživatel se přihlásí jednou přes centrální identitní provideра s MFA a získá přístup do všech napojených aplikací. Z pohledu uživatelského zážitku nejpohodlnější – místo deseti MFA výzev denně jen jedna při prvním přihlášení.
Pro koho: firmy s více cloudovými aplikacemi. Klíčová výhoda: centralizovaná správa identit, snadné odebrání přístupů při odchodu zaměstnance – přesně co zákon vyžaduje.
Jak zavést MFA bez toho, aby vám lidi vzdorovali
Technické nasazení MFA je dnes záležitost hodin. Organizační zvládnutí bývá složitější.
33 % zaměstnanců považuje MFA za otravné. 23 % za příliš složité. 23 % za příliš pomalé. Tato čísla z průzkumu Statista sice popisují globální realitu, ale v každé firmě je jejich odraz podobný: odpor bývá největší tam, kde nikdo pořádně nevysvětlil, proč to děláme.
Pár principů, které fungují:
Komunikujte „proč" dřív než „jak". Jedno konkrétní číslo (Microsoft: 99,9 % útoků na účty zastaveno MFA) nebo jeden příběh (Colonial Pipeline, MGM) udělá víc než tři strany interní bezpečnostní politiky.
Nasazujte postupně a prioritně. Začněte od nejvíce exponovaných skupin: IT administrátoři, finance, HR, management. Pak rozšiřte na všechny uživatele přistupující k firemním systémům vzdáleně. Nakonec kompletní rollout.
Nabídněte volbu metody (v rámci rozumných mezí). Někdo preferuje aplikaci, jiný push notifikace. Okta ve svém průzkumu zjistila, že 91 % administrátorů MFA používá – oproti 66 % běžných uživatelů. Vyšší adopce u adminů neznamená, že se snaží více; je to proto, že jim byl dán čas a podpora.
Záchranné kódy. Každý uživatel by měl mít bezpečně uložené záložní kódy pro případ ztráty telefonu. Standardní součást každého nasazení.
Hesla: co zákon konkrétně říká (a co to mění)
Zákon nezakazuje hesla. Ale nastavuje pro ně konkrétní minimální požadavky pro přechodnou dobu a tam, kde MFA ještě není nasazeno.
Vyhláška 410/2025 §8 odst. 4 (nižší režim):
- Minimálně 12 znaků pro uživatelské účty
- Minimálně 17 znaků pro administrátorské účty
- Minimálně 22 znaků pro technická aktiva (systémy)
- Povinná změna hesla minimálně jednou za 18 měsíců
- Zákaz jednoduchých a běžně používaných hesel
- Paměť posledních 12 hesel – uživatel nesmí opakovat
Vyhláška 409/2025 §19 odst. 4 (vyšší režim) přidává: minimální délka hesla uživatelů je 12 znaků, ale systém musí umožnit zadat heslo o délce alespoň 64 znaků – tedy podporovat passphrase.
Pro firmy, které používají systémy vynucující „maximálně 8 znaků a musí obsahovat speciální znak" (ano, takové stále existují), tohle znamená nutnou revizi konfigurace.
Jeden klíčový myšlenkový posun: zákon se odklání od paradigmatu „mění heslo každých 90 dní" směrem k delším, ale méně frekventovaně měněným heslům. Bezpečnostní výzkum (NIST, NCSC) v posledních letech ukazuje, že nucená pravidelná změna hesel vede ke slabším heslům (Heslo1, Heslo2, Heslo3...). Zákon reaguje: povinná změna jednou za 18 měsíců, nebo při podezření na kompromitaci – bezodkladně.
Technická aktiva: MFA pro stroje, ne jen pro lidi
Tady se skrývá překvapení pro mnoho IT týmů: zákon explicitně zmiňuje technická aktiva jako subjekty, pro které platí požadavky na ověření identity.
Co to v praxi znamená: server, který se autentizuje vůči databázi, API endpoint, který volá jiná aplikace, zálohovací systém, který přistupuje k úložišti. To vše by mělo mít silnou autentizaci – ideálně kryptografickými klíči nebo certifikáty (§19 odst. 2 písm. b) vyhlášky 409/2025 pro přechodné období), výhledově pokud možno MFA-ekvivalent.
Hesel tvrdě nakódovaných ve skriptech, sdílených service account přihlášení nebo defaultních továrních credentials je v průměrné firmě překvapivě mnoho. Zákon říká: zdokumentujte to, mějte plán, jak to opravit.
Kde začít: praktický týdenní plán
Zákon neříká, že musíte mít MFA hotové zítra. Říká, že musíte mít plán a dokumentaci. Tady je rozumný startovní bod:
Den 1–2: Inventura Sepište seznam systémů, do kterých se zaměstnanci přihlašují (e-mail, VPN, cloud, ERP, intranety). Ke každému systému: podporuje MFA? Je zapnuté?
Den 3–4: Priority Identifikujte kritické přístupy: vzdálený přístup (VPN), e-mail, cloudové aplikace, systémy s citlivými daty. Tady začnete.
Den 5–7: Pilotní nasazení Vyberte jednu skupinu (IT tým, management) a aktivujte MFA na jednom klíčovém systému. Ověřte workflow, identifikujte problémy před plošným rollout.
Týden 2+: Rozšíření a dokumentace Postupné rozšíření na všechny uživatele. Dokumentace stavu (co má MFA, co nemá a proč – požadavek vyšší režim dle §19 odst. 3 vyhlášky 409/2025).
Dobrá zpráva: většina moderních cloudových služeb (Microsoft 365, Google Workspace, AWS, Azure) MFA podporuje nativně a zdarma. Nasazení autentizační aplikace pro celou firmu je technicky záležitost půldne. Organizační příprava, komunikace a dokumentace zabere déle – ale ani to není projekt na měsíce.
Jeden pohled do budoucna: passkeys a bezhesloví
FIDO2/passkeys je standard, který nahrazuje hesla kryptografickým klíčovým párem uloženým v zařízení uživatele. Přihlašování probíhá biometrikou (otisk prstu, Face ID) nebo PINem k zařízení – ale heslo jako tajný sdílený řetězec neexistuje, takže ho nelze ukrást z phishingu ani z uniklé databáze.
Microsoft, Apple a Google passkeys aktivně prosazují. 70 % organizací je aktivně plánuje nebo implementuje. Zákon s tímto vývojem počítá skrze pojem „kontinuální autentizace na modelu nulové důvěry" coby ekvivalent MFA.
Pro firmy pod zákonem 264/2025 Sb. je klíčové vědět: passkeys jsou z pohledu legislativy přijatelná alternativa k tradiční MFA. Pokud váš cloud provider tuto metodu podporuje, je rozumné ji začít plánovat – splníte zákon a zároveň zlepšíte uživatelský zážitek.
Chcete zjistit, jak vaše firma stojí v oblasti správy identit a MFA podle nové legislativy, a kde jsou slabá místa? Vyzkoušejte demo Kraita Cyber One nebo se domluvte na nezávazné konzultaci.
Zdroje: JumpCloud IT Trends Report 2024 (1 000+ SME IT profesionálů), Expert Insights MFA Statistics 2025, Microsoft Security – MFA blocks 99,9 % automated attacks, Statista – MFA barriers survey, ISACA Industry News 2025 – Will MFA Redefine Cyberdefense, Vyhláška 409/2025 Sb. §19, Vyhláška 410/2025 Sb. §8, zákon č. 264/2025 Sb.