Blog
Vícefaktorová autentizace (MFA): Proč je povinná a jak ji zavést

Vícefaktorová autentizace (MFA): Proč je povinná a jak ji zavést

David Martínek
27. října 2025
8 min čtení

Hesla jsou mrtvá. Nebo aspoň umírají.

Podle nového zákona o kybernetické bezpečnosti už nestačí jen silné heslo – musíte zavést vícefaktorovou autentizaci (MFA). A není to žádná byrokratická buzerace. Je to reakce na realitu: 81 % úspěšných útoků začíná ukradením hesla.

Pojďme si říct, co to vlastně znamená, proč to musíte řešit a jak na to prakticky.

Co je to MFA – rychlé vysvětlení

MFA znamená, že k přihlášení potřebujete víc než jen heslo. Kombinujete něco, co:

  • Víte (heslo, PIN)
  • Máte (telefon, token, čipová karta)
  • Jste (otisk prstu, obličej)

Typický příklad: zadáte heslo a pak potvrdíte přihlášení kódem z mobilu. Útočník by musel ukrást jak heslo, tak váš telefon – což je mnohem těžší.

Co říká nový zákon

Od 1. listopadu 2025 platí jasně:

  • MFA je povinná pro administrátory i uživatele.
  • Můžete začít s administrátory jako s prioritou, ale postupně musíte pokrýt všechny přístupy.

Zákon vyžaduje minimálně 2 typy faktorů. Nestačí třeba SMS + email (oboje je „něco, co víte/máte přes stejný kanál"). Musí to být skutečně různé kategorie.

Výjimka pro menší firmy (nižší režim povinností): Můžete zatím použít alternativní metody (kryptografické klíče/certifikáty nebo silnější hesla), ale MFA musíte zavést bez zbytečného odkladu.

Jak MFA vypadá v praxi

Existuje řada variant, jak MFA implementovat. Vybírejte podle toho, co už máte a co je pro vaše lidi nejpohodlnější:

Varianta 1: Mobilní aplikace (nejběžnější)

Co to je: Aplikace jako Microsoft Authenticator, Google Authenticator nebo Authy generuje jednorázové kódy.

Výhody:

  • Jednoduché, rychlé
  • Funguje offline (kódy se generují lokálně)
  • Zaměstnanci to znají z osobního života

Nevýhody:

  • Ztracený telefon = problém (musí existovat záložní metoda)

Tip: Nastavte hned při zavádění záložní metodu – třeba záložní kódy nebo druhý telefon.

Varianta 2: SMS kódy (rychlý start, ale ne ideální)

Co to je: Kód přijde jako SMS na mobil.

Výhody:

  • Nejrychlejší na zavedení
  • Nulové školení

Nevýhody:

  • SMS lze zachytit (SIM swapping)
  • Nefunguje bez signálu
  • Odborníci to nedoporučují jako hlavní metodu

Použití: Spíš jako záložní varianta, ne jako primární MFA.

Varianta 3: Hardwarové tokeny (pro nejvyšší zabezpečení)

Co to je: Fyzický USB klíč (např. YubiKey), který musíte mít u sebe.

Výhody:

  • Nejbezpečnější varianta
  • Nelze hackovat na dálku
  • Dlouhá životnost (5+ let)

Nevýhody:

  • Dražší (1-2 tisíce Kč za kus)
  • Může se ztratit
  • Zaměstnanci si musí zvyknout

Použití: Ideální pro administrátory a lidi s přístupem k citlivým datům.

Varianta 4: Biometrie (příjemné, ale opatrně)

Co to je: Otisk prstu, rozpoznání obličeje.

Výhody:

  • Rychlé, pohodlné
  • Nemůžete zapomenout doma

Nevýhody:

  • Musí podporovat hardware i software
  • Ztracený otisk prstu nelze „resetovat"
  • Ne všude je to praktické (kancelář s 50 lidmi = nutnost biometrických čteček)

Použití: Spíš doplněk k jiným metodám, ne jako jediná MFA.

Varianta 5: Push notifikace (pohodlná volba)

Co to je: Na mobil přijde notifikace „Schvalujete přihlášení?" a vy jen kliknete.

Výhody:

  • Extrémně rychlé
  • Žádné opisování kódů
  • Vidíte kde a kdy se někdo přihlašuje

Nevýhody:

  • Vyžaduje aplikaci + internetové připojení
  • Riziko, že lidi klikají automaticky

Tip: Nastavte časový limit – notifikace vyprší po 30 vteřinách, aby lidi neklikali automaticky.

Jak na to: plán zavedení za 4 týdny

Týden 1: Zmapování a rozhodnutí

  • Udělejte si seznam systémů, kam se lidé přihlašují
  • Zjistěte, které už MFA podporují (spousta systémů ji má vestavěnou)
  • Rozhodněte se pro technologii (nejčastěji mobilní app + záložní SMS)

Týden 2: Pilotní skupina

  • Vyberte 5-10 lidí z IT/vedení
  • Nastavte jim MFA
  • Nechte je týden testovat a sbírejte zpětnou vazbu
  • Vyřešte problémy, než půjdete dál

Týden 3: Komunikace + školení

  • Pošlete jasný email: co se mění, proč a kdy
  • Připravte jednoduchou video-instrukci (2 minuty stačí)
  • Nastavte „helpdesk hodiny" – čas, kdy můžou lidi volat o pomoc

Týden 4: Hromadné zavedení

  • Pusťte MFA pro všechny
  • První týden buďte trpěliví – lidi budou zapomínat telefony, mažou aplikace...
  • Logujte si problémy a řešte je průběžně

Po měsíci: Zkontrolujte metriky – kolik lidí MFA aktivovalo, kde jsou problémy, co se nedaří.

Časté pasti (a jak se jim vyhnout)

Past 1: Žádná záložní metodaProblém: Zaměstnanec ztratí telefon = nemůže se přihlásit = zastaví práci

Řešení: Nastavte vždy záložní metodu – záložní kódy, druhý telefon nebo email pro reset

Past 2: Všichni dostanou MFA najednou, nikdo neví jakProblém: V pondělí ráno 50 lidí najednou neví, jak se přihlásit

Řešení: Postupné zavádění + předchozí komunikace + jasný návod

Past 3: MFA jen pro některé systémyProblém: Email má MFA, ale účetní systém ne = stejně máte díru

Řešení: Zmapujte všechny kritické systémy a řešte je komplexně. Pokud nějaký systém MFA neumí, zvažte jeho výměnu nebo alespoň přístup přes VPN s MFA.

Past 4: Ignorování uživatelské zkušenostiProblém: Lidi MFA obcházejí, protože je to „otravné"

Řešení: Vyberte nejpohodlnější variantu (push notifikace > mobilní app > SMS > token). Čím jednodušší, tím vyšší adopce.

Past 5: Zapomínání na správuProblém: Po půl roce nikdo neví, kdo má aktivní MFA, kdo ne, kde jsou záložní kódy...

Řešení: Použijte centrální správu (třeba přes Azure AD, Google Workspace nebo podobné systémy). Evidence, kdo má MFA zapnutou, musí být jasná.

Bonus: Zero Trust jako další úroveň

Nový zákon umožňuje místo klasické MFA použít Zero Trust model s kontinuální autentizací.

Co to znamená?

  • Systém průběžně kontroluje, že jste pořád vy (lokace, zařízení, chování)
  • Pokud se něco změní (náhle jiná země, neznámé zařízení), požádá o nové ověření
  • Je to pokročilejší, ale také složitější na nastavení

Pro většinu firem zatím stačí klasická MFA. Zero Trust zvažte, až budete mít základy v pořádku.

Co s tím může pomoct Kraita

V Kraita Cyber One najdete:

  • Checklist MFA implementace – co všechno musíte projít
  • Šablony pro komunikaci se zaměstnanci – email, instrukce, FAQs
  • Evidence systémů s/bez MFA – přehled, co už máte hotové a co ještě ne
  • Monitoring stavu – kolik lidí MFA aktivovalo

Nástroj vám hlídá, abyste na nic nezapomněli. Ale samotnou MFA musíte stále zavést vy – Kraita jen zkrátí cestu od plánu k hotovému řešení.

Shrnutí

MFA není kratochvíle pro byrokraty. Je to reálná ochrana proti 81 % útoků, které začínají ukradením hesla.

Klíčové body: ✅ Od listopadu 2025 povinná pro administrátory ✅ Minimálně 2 různé typy faktorů ✅ Nejčastěji: mobilní aplikace + záložní metoda ✅ Zavedení trvá 3-4 týdny (včetně pilotu a školení) ✅ Nejčastější chyby: žádná záložní metoda, špatná komunikace, nejednotnost

Nejlepší čas na zavedení MFA? Včera. Druhý nejlepší? Teď hned.

Full name
David Martínek
Zpět na výpis článků

Kontaktujte nás

Jsme tu pro vaše dotazy. Věříme, že společně najdeme řešení, které vám bude dávat smysl.

E-mail

info@kraita.io

Telefon

+420 770 182 890

Kancelář

Circles, Budějovická 778/3,Praha, 140 00
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
Facebook
Youtube
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies