Bezpečnostní průvodce

MFA vs silné heslo

Zjistěte, jak vícefaktorové ověřování a silná hesla spolupracují a proč žádná z těchto kontrol nenahrazuje druhou.

Shrnutí

MFA a silná hesla řeší různé problémy. Silné heslo ztěžuje útoky hádáním a opakovaným použitím. MFA přidává druhou bariéru, když je heslo ukradeno, phishingem získáno nebo uniknuto. U důležitých účtů používejte obojí.

Typy MFA

MFA může zahrnovat autentizační aplikace, hardwarové bezpečnostní klíče, passkeys, push potvrzení, SMS nebo e-mailové kódy. Metody se liší v odolnosti vůči phishingu a riziku obnovy. Druhé heslo není skutečný druhý faktor.

Praktická doporučení

• Používejte unikátní náhodná hesla pro každý účet.
• Povolte MFA pro e-mail, bankovnictví, práci, cloud a správce hesel.
• Pokud je to možné, preferujte metody odolné vůči phishingu.
• Bezpečně si uložte záložní kódy.
• Pravidelně kontrolujte záložní metody a důvěryhodná zařízení.

Podrobný návod

Tento průvodce se zaměřuje na to, jak MFA a silná hesla vzájemně doplňují. Je určen pro uživatele, kteří se ptají, zda MFA snižuje důležitost silného hesla, takže praktickým cílem není vytvořit dramatické bezpečnostní tvrzení. Cílem je zvolit návyk pro hesla, který přežije každodenní použití: přihlašovací formuláře, správci hesel, mobilní klávesnice, obnova účtu, sdílená zařízení a občasná služba s podivnými validačními pravidly. Bezpečné doporučení je užitečné jen tehdy, pokud ho skutečný člověk dokáže konzistentně dodržovat.

Nejbezpečnějším výchozím bodem je náhodnost plus jedinečnost. Náhodnost znamená, že hodnota je vybrána z velkého prostoru kryptograficky vhodným náhodným zdrojem, nikoli vymyšlena z narozenin, jména domácího mazlíčka, vzoru na klávesnici nebo oblíbeného citátu. Jedinečnost znamená, že stejné heslo není použito nikde jinde. Dlouhé, ale opakovaně používané heslo může rychle selhat po jedné nesouvisející krádeži, zatímco unikátní náhodné heslo omezí škodu na jediný účet, kde bylo použito.

Pro toto téma je praktickým výchozím nastavením unikátní náhodné heslo plus nezávislý druhý faktor. Toto nastavení můžete použít s generátorem hesel pro e-mail a poté uložit výslednou hodnotu do důvěryhodného správce hesel. PwdGen generuje hodnoty lokálně v prohlížeči pomocí Web Crypto; vygenerované heslo není odesláno na server PwdGen. Tento lokální design snižuje riziko na straně serveru, ale nechrání před všemi hrozbami. Škodlivé rozšíření prohlížeče, kompromitované zařízení, phishingová stránka nebo nebezpečná manipulace se schránkou mohou tajemství odhalit i po jeho vygenerování.

Nejčastější problémy, kterým je třeba se vyhnout, jsou zachycení SMS, únava z potvrzování, slabý záložní e-mail, nebezpečně uložené záložní kódy a opakovaně používaná hesla za MFA. Tyto problémy jsou důležité, protože útočníci jen zřídka potřebují brute-force všechna možná hesla, když jim lidské návyky poskytnou zkratku. Credential stuffing, phishing, uniklé seznamy hesel a zneužití obnovy účtu jsou často reálnější než čistě matematické hledání. Proto nejlepší rada kombinuje kvalitu hesla s kontrolami na úrovni účtu, jako je MFA, passkeys, ukládání záložních kódů a pravidelná kontrola nastavení záložního e-mailu nebo telefonu.

Při aplikaci doporučení použijte tento kontrolní seznam:

• Pokud je to možné, používejte aplikace, hardware nebo passkeys.
• Nejdříve chraňte e-mail.
• Bezpečně ukládejte záložní kódy.
• Neoslabujte hesla jen proto, že je povoleno MFA.

Pokud webová stránka odmítne ideální nastavení, nenuťte heslo ručně do slabšího vzoru. Upravujte jednu proměnnou najednou. Pokud jsou symboly odmítnuty, ponechte velká písmena, malá písmena a čísla a zvyšte délku. Pokud je maximální délka nízká, použijte největší akceptovanou délku a ujistěte se, že hodnota je unikátní. Pokud musí být heslo čteno nahlas, vytištěno nebo zadáno na televizní či routerové obrazovce, zvažte vyloučení matoucích znaků a zvýšení délky pro kompenzaci menší abecedy.

Nakonec si pamatujte hranice rad ohledně hesel. Silné heslo je jedna vrstva obrany, nikoli záruka. Nemůže učinit phishingovou stránku bezpečnou, opravit malware nebo kompenzovat službu, která ukládá přihlašovací údaje špatně. Užitečný návyk je nudný, ale trvanlivý: vygenerujte unikátní hodnotu, bezpečně ji uložte, chraňte cestu obnovy a rychle ji vyměňte, pokud máte podezření na prozrazení.

Bezpečný další krok

Po přečtení tohoto průvodce proveďte jeden malý audit účtu místo snahy opravit vše najednou. Vyberte účet, který by způsobil nejvíce problémů, kdyby byl převzat, potvrďte, že jeho heslo je unikátní, a zkontrolujte záložní e-mail, záložní telefon, metodu MFA a uložení záložních kódů. Pokud je některá část tohoto řetězce slabá, zlepšete ji, než přejdete k méně rizikovým účtům. Tento postup udržuje práci zvládnutelnou a chrání účty, které útočníci nejčastěji používají jako odrazový můstek. Pro MFA vs silné heslo je nejlepším výsledkem opakovatelný návyk: generovat lokálně, ukládat opatrně a vyhnout se opakovanému použití.

Často kladené otázky

Nahrazuje MFA silné heslo?

Ne. MFA snižuje riziko převzetí účtu, ale heslo by mělo být stále unikátní a silné.

Stačí SMS MFA?

SMS může být lepší než žádné MFA, ale autentizační aplikace, passkeys a bezpečnostní klíče jsou často silnější, pokud jsou k dispozici.

Co bych měl chránit jako první?

Nejprve chraňte e-mail, správce hesel, bankovnictví, práci a cloudové účty, protože mohou odemknout další služby.