Vícefaktorové ověření (MFA) již není pouhým bezpečnostním doporučením pro velké podniky. Je to jeden z nejpraktičtějších způsobů, jak mohou firmy snížit riziko převzetí účtu a znehodnotit ukradená hesla. Vzhledem k tomu, že se přístup k podnikovým systémům rozšiřuje do cloudových aplikací, vzdálených týmů, sdílených zařízení a platforem třetích stran, stává se MFA stále užitečnějším nástrojem.

Během implementace však IT manažeři čelí výzvě, jak posoudit, zda je MFA užitečné nebo efektivní. Zprovoznění MFA v rámci celé organizace vyžaduje řadu rozhodnutí: Které účty ho potřebují jako první? Které metody MFA by měly být povoleny? Jak se vyhnout odporu zaměstnanců? Jak zajistit, aby bylo MFA skutečně vymáháno, a ne pouze doporučováno?

Tento průvodce byl napsán s cílem pomoci vaší firmě s úspěšnou implementací MFA. Vysvětluje, co je to MFA, proč samotná hesla již nestačí, jak si běžné metody MFA stojí v porovnání pro firemní použití a jak MFA zavést způsobem, který váš tým snadno přijme. Ukazuje také, jak může firemní správce hesel s integrovanou podporou 2FA usnadnit správu silnějších metod ověření ve velkém měřítku.

Co je vícefaktorové ověření?

Proč samotná hesla již nestačí

Typy MFA a kompromisy pro firmy

Kde implementace MFA selhává

Problém s odporem zaměstnanců

Jak zavést MFA ve vaší firmě

Jak Proton Pass for Business usnadňuje správu MFA

Co je vícefaktorové ověření?

MFA je bezpečnostní proces, který pro přístup k účtu vyžaduje více než jeden typ ověření identity. Namísto spoléhání se pouze na tradiční heslo vyžaduje MFA další faktor, který ztěžuje neoprávněný přístup.

Tři běžné faktory ověření jsou:

  • Něco, co znáte, například heslo nebo PIN.
  • Něco, co máte, například telefon, ověřovací aplikace, hardwarový bezpečnostní klíč nebo důvěryhodné zařízení.
  • Něco, čím jste, například otisk prstu nebo rozpoznávání obličeje.

V praxi MFA obvykle znamená, že zaměstnanec zadá heslo a poté ověří přihlášení jinou metodou, jako je časově omezený kód (nebo TOTP), schválení push oznámením, přístupový klíč nebo hardwarový klíč. Cíl je jednoduchý: pokud je heslo ukradeno, uhodnuto, získáno phishingem nebo znovu použito, útočník k proniknutí stále potřebuje další faktor.

Vícefaktorové ověření v podnikovém prostředí

Pro firmy je implementace MFA způsobem, jak posílit zabezpečení účtů pomocí dalšího řízení přístupu, nikoli pouze nahradit hesla. V podnikovém prostředí je výzvou rozhodnout, kde jsou tyto metody nejvíce zapotřebí, a jak je důsledně implementovat napříč různými systémy, rolemi a úrovněmi rizika.

Nicméně ne všechny metody MFA jsou stejně silné. Kód zaslaný prostřednictvím SMS je lepší než samotné heslo, ale nenabízí stejnou úroveň ochrany jako hardwarový bezpečnostní klíč nebo dobře naimplementovaný přístupový klíč. Správná volba závisí na míře rizika, použitelnosti, přístupu k zařízením, požadavcích na shodu s předpisy a na tom, jak velkou správcovskou kontrolu si vaše firma dokáže udržet.

Proč samotná hesla již nestačí

Silná hesla jsou stále důležitá, ale sama o sobě již nestačí. Zaměstnanci spravují více účtů než kdykoli předtím a útočníci vědí, že přístup do firemních systémů často začíná jedinými kompromitovanými přihlašovacími údaji.

Heslo může být odhaleno prostřednictvím phishingu, malwaru(nové okno), úniků dat, zkoušení dříve uniklých přihlašovacích údajů (credential stuffing), opakovaného používání hesel nebo nebezpečného sdílení. Jakmile útočníci získají platné uživatelské jméno a heslo, může jejich aktivita vypadat jako běžný pokus o přihlášení, pokud není vyžadována další vrstva ověření.

Proto musí ochrana před úniky dat pro firmy zahrnovat kontrolu přihlašovacích údajů, zabezpečení koncových bodů a školení zaměstnanců. Silná zásada hesel pomáhá, ale nedokáže zabránit tomu, aby bylo každé ukradené heslo vyzkoušeno v e-mailu, cloudovém úložišti, finančních nástrojích, správcovských portálech nebo zákaznických systémech.

Finanční sázky jsou vysoké. Zpráva společnosti IBM 2025 Cost of a Data Breach Report(nové okno) uvádí, že průměrné globální náklady na únik dat činí 4,4 milionu dolarů. MFA sice nedokáže zcela eliminovat riziko úniku dat, ale omezuje jednu z nejčastějších cest do firemních systémů: neoprávněný přístup prostřednictvím kompromitovaných přihlašovacích údajů.

MFA je obzvláště důležité u účtů, které ovládají jiné účty. E-mail, poskytovatelé identity, správci hesel, správcovské konzole, vývojářské platformy, mzdové nástroje a finanční systémy by měly být považovány za vysokou prioritu, protože získání přístupu k nim může otevřít cestu k dalšímu přístupu jinam.

Typy MFA a kompromisy pro firmy

Úspěšná implementace MFA začíná výběrem správných metod. Nejlepší volba není vždy stejná pro každou firmu, tým nebo systém. IT manažeři musí například vyvážit úroveň zabezpečení, použitelnost pro zaměstnance, dostupnost zařízení, administrativní zátěž a potřeby podpory.

Jednorázová hesla přes SMS

Jednorázová hesla (OTP) zasílaná přes SMS odesílají kód na telefonní číslo během přihlašování. Pro zaměstnance se jedná o jednu z nejsnáze pochopitelných metod MFA, která může být užitečná v případech, kdy nejsou k dispozici lepší možnosti.

Nevýhodou je bezpečnost. SMS mohou být zranitelné vůči útokům typu SIM swapping, odposlechu, sociálnímu inženýrství a útokům na obnovení telefonního čísla. Způsobují také provozní problémy, když zaměstnanci změní číslo, cestují do zahraničí, mají špatný signál nebo používají osobní telefony k pracovním účelům.

Pro firmy je nejlepší považovat SMS OTP za záložní možnost, nikoli za preferovanou metodu MFA. Stále se jedná o lepší řešení než pouhé použití hesel, nemělo by však být výchozí volbou pro vysoce rizikové účty.

Ověřovací aplikace a kódy TOTP

Zaměstnanci otevřou ověřovací aplikaci, například Proton Authenticator, zkopírují kód vygenerovaný pro službu, do které se přihlašují, a poté jej zadají během přihlášení.

Tato možnost je obvykle bezpečnější než SMS, protože kód se generuje v zařízení a nezávisí na mobilní síti. Je také široce podporována napříč firemními nástroji, což z ní činí praktický základ pro řadu zavádění MFA.

Kompromisem je použitelnost a obnova. Zaměstnanci musí aplikaci správně nastavit, mít neustálý přístup ke svému zařízení a rozumět tomu, jak funguje obnova v případě ztráty nebo výměny telefonu. Týmy IT musí také vytvořit jasné zásady pro záložní kódy, změny zařízení a odchod zaměstnanců (offboarding).

Kódy TOTP fungují dobře jako obecná metoda MFA pro firmy, zejména v kombinaci se silnou správou hesel a jasnými procesy správy.

Hardwarové bezpečnostní klíče

Hardwarové bezpečnostní klíče, jako jsou YubiKeys, poskytují silné ověření, protože zaměstnanec musí klíč fyzicky vlastnit, aby získal přístup k firemním účtům. Mnohé bezpečnostní klíče také chrání před phishingem, protože před dokončením ověření ověřují, zda je samotný web legitimní.

Pro vysoce rizikové role mohou být hardwarové klíče jednou z nejsilnějších možností MFA. Jsou užitečné zejména pro administrátory, vedoucí pracovníky, finanční týmy, vývojáře a kohokoli s přístupem k citlivým systémům.

Nevýhodou je složitost zavedení. Firmy musí klíče zakoupit, distribuovat je, proškolit zaměstnance, spravovat zálohy a řešit ztracená nebo poškozená zařízení. Strategie hardwarových klíčů vyžaduje také proces obnovy, který nesnižuje úroveň zabezpečení.

Přístupové klíče

Přístupové klíče používají kryptografické ověření namísto tradičního hesla. V mnoha případech zaměstnanci přístupový klíč odemknou pomocí otisku prstu, rozpoznání obličeje, PINu nebo schválení na zařízení. Soukromý klíč zůstává v zařízení, díky čemuž jsou přístupové klíče odolnější vůči phishingu než mnohé starší metody ověření.

Pro firmy mohou přístupové klíče zlepšit jak zabezpečení, tak použitelnost. Snižují závislost na sdílených tajných klíčích a mohou zaměstnancům urychlit přihlášení. Hlavní výzvou je připravenost ekosystému. Ne všechny firemní nástroje již přístupové klíče podporují a IT týmy potřebují zásady pro registraci zařízení, obnovu, sdílené pracovní stanice a odchod zaměstnanců.

Pro řadu organizací je praktickým řešením hybridní model: používat přístupové klíče tam, kde jsou podporovány, zachovat silná hesla a MFA tam, kde jsou stále vyžadovány, a obojí spravovat prostřednictvím jasných zásad přístupu.

Metoda MFAÚroveň zabezpečeníVhodnost pro firmyIdeální scénář použití
SMS OTPZákladníSnadné nasazení, ale méně bezpečné než jiné metody MFAZáložní možnost, pokud není k dispozici silnější metoda MFA
Ověřovací aplikaceStřední až silnéPraktické výchozí řešení pro mnoho týmůKaždodenní firemní účty a nástroje SaaS
Hardwarové bezpečnostní klíčeVelmi silnéNejlepší pro vysoce rizikové role, vyžaduje však správu zařízeníSprávci, vedoucí pracovníci, finanční týmy a citlivé systémy
Přístupové klíčeVelmi silnéBezpečné a uživatelsky přívětivé tam, kde jsou podporoványModerní aplikace, bezheslové procesy a přístup odolný vůči phishingu

Kde implementace MFA selhává

MFA může selhat, i když ji firma naimplementovala. Na kvalitě implementace totiž záleží stejně jako na samotné metodě MFA. Mezi důvody selhání může patřit:

  • Slabé obnovení. Pokud mohou zaměstnanci obejít MFA prostřednictvím snadného obnovení účtu, zkratek technické podpory nebo špatně chráněných záložních kódů, útočníci se mohou zaměřit na proces resetování namísto přihlašovací obrazovky.
  • Nejednotné vymáhání. MFA může být aktivována pro některé nástroje, ale ponechána jako volitelná pro e-mail, účty správců, finanční systémy, sdílené provozní účty nebo určité zaměstnance. V takové situaci se MFA stává spíše přáním než kontrolním mechanismem a útočníci mohou stále hledat nejslabší dostupnou cestu.
  • Špatná použitelnost. Pokud jsou zaměstnanci neustále vyrušováni, blokováni nebo nemají jasno v tom, co mají schválit, mohou být frustrovaní a náchylnější k chybám. Příkladem je únava z push oznámení: opakované výzvy ke schválení mohou lidi naučit přijímat požadavky bez přemýšlení.

Úspěšné zavedení MFA vyžaduje vymáhání, sledování a podporu. Pro zaměstnance by mělo být snadné jednat správně a obtížné ponechat důležité účty nechráněné.

Problém s odporem zaměstnanců

Odpor zaměstnanců je jednou z největších překážek při zavádění MFA. Zaměstnanci jej mohou vnímat jako krok navíc, překážku v produktivitě nebo další bezpečnostní pravidlo přidané bez kontextu.

Tato reakce je pochopitelná, zvláště pokud je MFA zaváděna náhle nebo s nesrozumitelnými pokyny. Odpor často pramení ze špatné implementace, nikoli z odporu k bezpečnosti jako takové.

Řešením tohoto problému je zajistit, aby bylo zavádění MFA předvídatelné a snadno sledovatelné. Vysvětlete zaměstnancům, že MFA chrání firemní účty i v případě krádeže hesla, začněte se známými nástroji, jako je e-mail a sdílené firemní platformy, poskytněte jasný postup instalace a podporujte zaměstnance při výměně zařízení.

Neprezentujte MFA jako trest nebo projev nedůvěry. Měla by působit jako praktické ochranné opatření pro společnost, její klienty i vlastní pracovní účty zaměstnanců.

Pomoci mohou také zásady používání vlastních zařízení (BYOD). Pokud zaměstnanci používají k práci osobní zařízení, jasná pravidla pro ověřovací aplikace, bezpečnost zařízení, hlášení ztracených zařízení a odvolání přístupu usnadní zavádění MFA.

Jak zavést MFA ve vaší firmě

Úspěšné zavedení MFA je projektem řízení změn. Manažeři IT se musí rozhodnout, co bude chráněno jako první, jak bude fungovat vymáhání, jak se bude řešit správa výjimek a jak se bude měřit míra přijetí.

Krok 1: Zmapujte své účty a úrovně rizik

Začněte inventarizací přístupů. Identifikujte systémy, na kterých vaše firma závisí, a účty, které v případě kompromitování představují největší riziko.

Stanovte priority:

  • Účty e-mailu a poskytovatelů identity.
  • Účty správců a privilegované role.
  • Účty správců hesel.
  • Nástroje pro finance, mzdy a fakturaci.
  • Cloudová úložiště a sdílení souborů.
  • Vývojářské, infrastrukturní a produkční systémy.
  • Platformy pro zákaznická data a systémy CRM.

Tím pro vaši firmu vznikne postup zavádění, který vychází z rizik, nikoli z pohodlí.

Krok 2: Vyberte schválené metody MFA

Rozhodněte, které metody MFA vaše firma povolí. Pro mnoho týmů se mohou stát výchozí možností ověřovací aplikace nebo přístupové klíče, zatímco hardwarové bezpečnostní klíče budou vyhrazeny pro vysoce rizikové role. SMS může v případě potřeby zůstat záložní možností, ale neměla by být preferovanou metodou pro citlivé systémy.

Rozhodnutí jasně zdokumentujte. Zaměstnanci by měli vědět, které metody jsou schválené, které se nedoporučují a co dělat v případě ztráty zařízení.

Krok 3: Před plošným vymáháním proveďte pilotní testování

Spusťte pilotní projekt s IT, provozním oddělením, financemi, vedením nebo jinou skupinou, která může poskytnout užitečnou zpětnou vazbu. Cílem je otestovat postup instalace, dokumentaci podpory, procesy obnovení a nastavení zásad předtím, než se zavádění rozšíří na celou organizaci.

Pilotní projekt také pomůže identifikovat, kde jsou výzvy MFA příliš časté, kde zaměstnanci potřebují srozumitelnější pokyny a které systémy vyžadují zvláštní zacházení.

Krok 4: Nejprve vyžadujte MFA u vysoce rizikových účtů

U kritických systémů pouhé doporučení nestačí. Po dokončení pilotního projektu vyžadujte MFA u účtů, které představují nejvyšší riziko.

To zahrnuje účty správců, e-mail, systémy identit, správce hesel a finanční nástroje. Pokud tyto účty zůstanou volitelné, útočníci si mohou stále najít cestu do firmy.

Klíčem je vymáhat pravidla s podporou. Poskytněte zaměstnancům předběžné upozornění, návody k instalaci, konzultační hodiny a pokyny k obnovení. Vymáhání funguje nejlépe, když jím lidé nejsou zaskočeni.

Krok 5: Rozšiřte zabezpečení na zbytek organizace

Jakmile jsou vysoce rizikové účty chráněny, rozšiřte MFA na zbývající firemní nástroje. To může probíhat podle oddělení, kategorie nástrojů nebo úrovně rizika.

Sledujte průběžně úspěšnost zavádění:

  • Které účty mají aktivováno MFA?
  • Kteří zaměstnanci se dosud nezaregistrovali?
  • Které systémy stále umožňují přístup pouze pomocí hesla?
  • Které výjimky jsou otevřené a kdo je jejich vlastníkem?

Firemní správce hesel může tento proces podpořit tím, že týmům poskytne přehled o tom, které účty již mají aktivováno MFA a které stále vyžadují silnější ověření.

V tomto bodě se zavádění často zadrhne nebo selže. Po datu spuštění vyžaduje MFA neustálou správu.

Krok 6: Zkontrolujte výjimky a cesty pro obnovení

Každá výjimka by měla mít svého vlastníka, důvod a datum vypršení platnosti. Pokud pro některý nástroj nelze MFA aktivovat, zdokumentujte proč a rozhodněte, zda je potřeba kompenzační opatření.

Obnovení si také zaslouží pravidelnou revizi. Záložní kódy, postupy pro obnovení účtu, přepsání nastavení správcem a resety zařízení se mohou stát slabými místy, pokud nejsou pod kontrolou. Implementace MFA by měla zajistit, aby bylo obnovení bezpečné, nikoli pouze pohodlné.

Jak Proton Pass for Business usnadňuje správu MFA

Zavádění MFA je snazší, pokud je již správa přihlašovacích údajů pod kontrolou. Pokud jsou hesla používána opakovaně, sdílena neformálně, ukládána v prohlížečích nebo rozptýlena v tabulkách, je obtížnější MFA důsledně vyžadovat.

Firemní správce hesel, jako je Proton Pass for Business, pomáhá více způsoby než jen posílením vrstvy hesel. Dokáže také přímo podporovat druhý faktor. Vestavěná podpora 2FA znamená, že týmy mohou bezpečně ukládat kódy TOTP a používat samotného správce hesel jako zařízení MFA, což usnadňuje zavedení silnějšího ověření a jeho bezpečné sdílení tam, kde je to vhodné. Zaměstnanci mohou generovat silná, jedinečná hesla, ukládat je do šifrovaných trezorů, automaticky vyplňovat přihlašovací údaje, využívat vestavěnou podporu 2FA pro kódy TOTP a spravovat přístupové klíče tam, kde jsou podporovány.

To také zlepšuje přehled. Správci potřebují vědět nejen to, zda mají zaměstnanci silná hesla, ale také které účty již mají aktivované 2FA a které stále spoléhají na přístup pouze pomocí hesla. Proton Pass může IT správcům pomoci tyto informace odhalit, což usnadňuje sledování zavádění MFA v celé organizaci.

Důležitým aspektem jsou také přístupové klíče. Vzhledem k tomu, že firmy přecházejí na silnější ověřování odolné vůči phishingu, správce hesel podporující přístupové klíče, jako je Proton Pass, pomáhá týmům spravovat jak tradiční procesy MFA, tak novější bezheslové metody na jednom místě. Díky tomu je zavádění praktičtější v kombinovaných prostředích, kde některé systémy stále používají hesla a kódy TOTP, zatímco jiné jsou již připraveny na přístupové klíče.

Pro IT týmy podporuje Proton Pass for Business centralizovanou správu, zásady, bezpečné sdílení a přehled díky reportům a logům. Díky tomu je provozování MFA reálnější, protože týmy mohou omezit nekontrolované šíření hesel a zároveň snadněji implementovat a řídit silnější ověřování v celé organizaci.

Firemní správce hesel nenahrazuje MFA. Výrazně však usnadňuje implementaci MFA, protože posiluje první faktor, podporuje druhý a celkově poskytuje firmě schůdnější cestu k silnějšímu ověřování.