Blog
Vícefaktorová autentizace (MFA): Proč je povinná a jak ji zavést

Vícefaktorová autentizace (MFA): Proč je povinná a jak ji zavést

David Martínek
27. října 2025
8 min čtení

Hesla jsou mrtvá. Nebo aspoň umírají.

Podle nového zákona o kybernetické bezpečnosti už nestačí jen silné heslo – musíte zavést vícefaktorovou autentizaci (MFA). A není to žádná byrokratická buzerace. Je to reakce na realitu: 81 % úspěšných útoků začíná ukradením hesla.

Pojďme si říct, co to vlastně znamená, proč to musíte řešit a jak na to prakticky.

Co je to MFA – rychlé vysvětlení

MFA znamená, že k přihlášení potřebujete víc než jen heslo. Kombinujete něco, co:

  • Víte (heslo, PIN)
  • Máte (telefon, token, čipová karta)
  • Jste (otisk prstu, obličej)

Typický příklad: zadáte heslo a pak potvrdíte přihlášení kódem z mobilu. Útočník by musel ukrást jak heslo, tak váš telefon – což je mnohem těžší.

Co říká nový zákon

Od 1. listopadu 2025 platí jasně:

  • MFA je povinná pro administrátory i uživatele.
  • Můžete začít s administrátory jako s prioritou, ale postupně musíte pokrýt všechny přístupy.

Zákon vyžaduje minimálně 2 typy faktorů. Nestačí třeba SMS + email (oboje je „něco, co víte/máte přes stejný kanál"). Musí to být skutečně různé kategorie.

Výjimka pro menší firmy (nižší režim povinností): Můžete zatím použít alternativní metody (kryptografické klíče/certifikáty nebo silnější hesla), ale MFA musíte zavést bez zbytečného odkladu.

Jak MFA vypadá v praxi

Existuje řada variant, jak MFA implementovat. Vybírejte podle toho, co už máte a co je pro vaše lidi nejpohodlnější:

Varianta 1: Mobilní aplikace (nejběžnější)

Co to je: Aplikace jako Microsoft Authenticator, Google Authenticator nebo Authy generuje jednorázové kódy.

Výhody:

  • Jednoduché, rychlé
  • Funguje offline (kódy se generují lokálně)
  • Zaměstnanci to znají z osobního života

Nevýhody:

  • Ztracený telefon = problém (musí existovat záložní metoda)

Tip: Nastavte hned při zavádění záložní metodu – třeba záložní kódy nebo druhý telefon.

Varianta 2: SMS kódy (rychlý start, ale ne ideální)

Co to je: Kód přijde jako SMS na mobil.

Výhody:

  • Nejrychlejší na zavedení
  • Nulové školení

Nevýhody:

  • SMS lze zachytit (SIM swapping)
  • Nefunguje bez signálu
  • Odborníci to nedoporučují jako hlavní metodu

Použití: Spíš jako záložní varianta, ne jako primární MFA.

Varianta 3: Hardwarové tokeny (pro nejvyšší zabezpečení)

Co to je: Fyzický USB klíč (např. YubiKey), který musíte mít u sebe.

Výhody:

  • Nejbezpečnější varianta
  • Nelze hackovat na dálku
  • Dlouhá životnost (5+ let)

Nevýhody:

  • Dražší (1-2 tisíce Kč za kus)
  • Může se ztratit
  • Zaměstnanci si musí zvyknout

Použití: Ideální pro administrátory a lidi s přístupem k citlivým datům.

Varianta 4: Biometrie (příjemné, ale opatrně)

Co to je: Otisk prstu, rozpoznání obličeje.

Výhody:

  • Rychlé, pohodlné
  • Nemůžete zapomenout doma

Nevýhody:

  • Musí podporovat hardware i software
  • Ztracený otisk prstu nelze „resetovat"
  • Ne všude je to praktické (kancelář s 50 lidmi = nutnost biometrických čteček)

Použití: Spíš doplněk k jiným metodám, ne jako jediná MFA.

Varianta 5: Push notifikace (pohodlná volba)

Co to je: Na mobil přijde notifikace „Schvalujete přihlášení?" a vy jen kliknete.

Výhody:

  • Extrémně rychlé
  • Žádné opisování kódů
  • Vidíte kde a kdy se někdo přihlašuje

Nevýhody:

  • Vyžaduje aplikaci + internetové připojení
  • Riziko, že lidi klikají automaticky

Tip: Nastavte časový limit – notifikace vyprší po 30 vteřinách, aby lidi neklikali automaticky.

Jak na to: plán zavedení za 4 týdny

Týden 1: Zmapování a rozhodnutí

  • Udělejte si seznam systémů, kam se lidé přihlašují
  • Zjistěte, které už MFA podporují (spousta systémů ji má vestavěnou)
  • Rozhodněte se pro technologii (nejčastěji mobilní app + záložní SMS)

Týden 2: Pilotní skupina

  • Vyberte 5-10 lidí z IT/vedení
  • Nastavte jim MFA
  • Nechte je týden testovat a sbírejte zpětnou vazbu
  • Vyřešte problémy, než půjdete dál

Týden 3: Komunikace + školení

  • Pošlete jasný email: co se mění, proč a kdy
  • Připravte jednoduchou video-instrukci (2 minuty stačí)
  • Nastavte „helpdesk hodiny" – čas, kdy můžou lidi volat o pomoc

Týden 4: Hromadné zavedení

  • Pusťte MFA pro všechny
  • První týden buďte trpěliví – lidi budou zapomínat telefony, mažou aplikace...
  • Logujte si problémy a řešte je průběžně

Po měsíci: Zkontrolujte metriky – kolik lidí MFA aktivovalo, kde jsou problémy, co se nedaří.

Časté pasti (a jak se jim vyhnout)

Past 1: Žádná záložní metodaProblém: Zaměstnanec ztratí telefon = nemůže se přihlásit = zastaví práci

Řešení: Nastavte vždy záložní metodu – záložní kódy, druhý telefon nebo email pro reset

Past 2: Všichni dostanou MFA najednou, nikdo neví jakProblém: V pondělí ráno 50 lidí najednou neví, jak se přihlásit

Řešení: Postupné zavádění + předchozí komunikace + jasný návod

Past 3: MFA jen pro některé systémyProblém: Email má MFA, ale účetní systém ne = stejně máte díru

Řešení: Zmapujte všechny kritické systémy a řešte je komplexně. Pokud nějaký systém MFA neumí, zvažte jeho výměnu nebo alespoň přístup přes VPN s MFA.

Past 4: Ignorování uživatelské zkušenostiProblém: Lidi MFA obcházejí, protože je to „otravné"

Řešení: Vyberte nejpohodlnější variantu (push notifikace > mobilní app > SMS > token). Čím jednodušší, tím vyšší adopce.

Past 5: Zapomínání na správuProblém: Po půl roce nikdo neví, kdo má aktivní MFA, kdo ne, kde jsou záložní kódy...

Řešení: Použijte centrální správu (třeba přes Azure AD, Google Workspace nebo podobné systémy). Evidence, kdo má MFA zapnutou, musí být jasná.

Bonus: Zero Trust jako další úroveň

Nový zákon umožňuje místo klasické MFA použít Zero Trust model s kontinuální autentizací.

Co to znamená?

  • Systém průběžně kontroluje, že jste pořád vy (lokace, zařízení, chování)
  • Pokud se něco změní (náhle jiná země, neznámé zařízení), požádá o nové ověření
  • Je to pokročilejší, ale také složitější na nastavení

Pro většinu firem zatím stačí klasická MFA. Zero Trust zvažte, až budete mít základy v pořádku.

Co s tím může pomoct Kraita

V Kraita Cyber One najdete:

  • Checklist MFA implementace – co všechno musíte projít
  • Šablony pro komunikaci se zaměstnanci – email, instrukce, FAQs
  • Evidence systémů s/bez MFA – přehled, co už máte hotové a co ještě ne
  • Monitoring stavu – kolik lidí MFA aktivovalo

Nástroj vám hlídá, abyste na nic nezapomněli. Ale samotnou MFA musíte stále zavést vy – Kraita jen zkrátí cestu od plánu k hotovému řešení.

Shrnutí

MFA není kratochvíle pro byrokraty. Je to reálná ochrana proti 81 % útoků, které začínají ukradením hesla.

Klíčové body: ✅ Od listopadu 2025 povinná pro administrátory ✅ Minimálně 2 různé typy faktorů ✅ Nejčastěji: mobilní aplikace + záložní metoda ✅ Zavedení trvá 3-4 týdny (včetně pilotu a školení) ✅ Nejčastější chyby: žádná záložní metoda, špatná komunikace, nejednotnost

Nejlepší čas na zavedení MFA? Včera. Druhý nejlepší? Teď hned.

Full name
David Martínek
Zpět na výpis článků
Circles s.r.o.
Budějovická 778/3, Praha, 140 00

IČO: 21277371
Spisová značka C 399397/MSPH Městský soud v Praze.
Přihlaste se k odběru newsletteru a buďte informováni o novinkách a funkcích.
Odběrem souhlasíte s našimi Zásadami ochrany osobních údajů.
Děkujeme! Vaše přihlášení bylo úspěšně přijato!
Omlouváme se! Při odesílání formuláře došlo k chybě.
.
Kraita.io
DomůKraita Cyber OneKraita Knowledge ManagerKraita Support AssistantKraita AutomationBlogKontakty
Sledujte nás
Instagram
LinkedIn
© 2025 Kraita Cyber One. Všechna práva vyhrazena.
Zásady ochrany osobních údajůObchodní podmínkyNastavení cookies