ITDelivery IT technika na míru. Ne z letáku, ale podle potřeb firmy.
+420602301272 info@itdelivery.cz
Přihlásit se Registrace
Notebooky pro firmy  ›  2FA pro firemní účty: kdy je povinné a jak to nastavit rozumně

2FA pro firemní účty: kdy je povinné a jak to nastavit rozumně

2FA (dvoufázové ověření) je dnes nejrychlejší a nejlevnější způsob, jak firmě dramaticky snížit riziko napadení účtů. V článku najdete, kdy je 2FA prakticky nutnost, jak zvolit správnou metodu (aplikace vs. klíč vs. SMS) a jak to nastavit tak, aby to zaměstnance neničilo, ale opravdu chránilo.

Co je 2FA a proč to ve firmě řešit

2FA (two-factor authentication) znamená, že se k účtu nepřihlašujete jen heslem, ale ještě druhým faktorem. Typicky je to kód v aplikaci (Authenticator), potvrzení v mobilu nebo fyzický bezpečnostní klíč.

Pro firmy je 2FA zásadní hlavně proto, že hesla unikají pořád: z jiných služeb, přes phishing nebo prostě lidskou chybou. S 2FA útočníkovi samotné heslo často nestačí – a tím se radikálně sníží pravděpodobnost průšvihu.

Kdy je 2FA ve firmě prakticky povinné

  • E-mail a cloud (Microsoft 365, Google Workspace) – e-mail je vstupní brána ke všemu.
  • Účty s finančním dopadem – bankovnictví, fakturační systémy, platební brány, e-shopy.
  • Administrátorské účty – správa M365/Google, servery, firewally, domény, hosting.
  • Vzdálený přístup – VPN, RDP, vzdálená správa, helpdesk nástroje.
  • Uživatelé s citlivými daty – HR, účetní, obchod (ceníky), management.

Pokud firma dělá cokoliv se zákaznickými daty, má přístup do cloudu nebo používá vzdálenou práci, 2FA by měla být standard. Ne „někdy“, ale vždy.

Nejčastější chyby, kvůli kterým je 2FA jen “na oko”

  • 2FA jen pro admina – přitom nejčastěji se útočí na běžné uživatele (phishing na e-mail).
  • SMS jako jediná metoda – je lepší než nic, ale ve firmě je to slabší varianta.
  • Bez záložních kódů – pak při ztrátě telefonu řešíš chaos a výpadky.
  • Bez pravidel pro nové/odcházející lidi – účty zůstávají otevřené nebo se řeší na poslední chvíli.
  • Bez registrace druhého zařízení/klíče – když se něco rozbije, stojí práce.

Jakou metodu 2FA vybrat: aplikace, klíč, SMS

1) Autentizační aplikace (doporučeno jako základ)

Nejběžnější a rozumný základ je aplikace typu Microsoft Authenticator / Google Authenticator / Authy. Uživatel má v mobilu kód nebo potvrzení přihlášení.

  • Plusy: levné, rychlé nasazení, dobrá bezpečnost, jednoduché vysvětlení lidem.
  • Mínusy: ztráta telefonu = řešíš obnovu, potřebuješ proces a zálohy.

2) Bezpečnostní klíč (nejlepší pro adminy a citlivé role)

Fyzický klíč (např. USB/NFC) je nejodolnější proti phishingu. Dává největší smysl pro admin účty, IT správce, vedení firmy a finance.

  • Plusy: vysoká bezpečnost, odolné proti phishingu, rychlé přihlášení.
  • Mínusy: stojí peníze, musíš řešit evidenci a náhradní kus.

3) SMS (jen jako nouzovka)

SMS je lepší než nic, ale ve firmě je to spíš záloha než primární metoda. Může být zneužitelnější a často je to i opruz na správu.

Rozumné firemní nastavení: co funguje v praxi

  • 2FA povinně pro všechny účty v e-mailu a cloudu (M365/Google).
  • Admin účty vždy s vyšší úrovní (klíč nebo phishing-resistant metoda).
  • Záložní metoda: druhé zařízení nebo náhradní klíč (hlavně pro klíčové role).
  • Záložní kódy uložit bezpečně (např. firemní password manager, trezor, IT).
  • Proces pro ztrátu telefonu: kdo ověří identitu a jak rychle se obnoví přístup.
  • Proces pro nástup/odchod: 2FA nastavit v onboarding checklistu, při odchodu účet uzavřít.

Onboarding: jak to zavést, aby lidi nešíleli

Největší odpor k 2FA vzniká, když se to lidem hodí „na hlavu“ bez vysvětlení a bez podpory. Funguje jednoduchý postup:

  1. Komunikace dopředu – proč to zavádíte, co to ochrání (e-mail, finance, data).
  2. Jednoduchý návod – ideálně 5 kroků se screenshoty.
  3. Hromadná registrace – jeden termín, kdy IT pomůže lidem to nastavit.
  4. Kontrola – ověřit, že se přihlášení opravdu chová podle očekávání.
  5. Záloha – druhá metoda nebo recovery kódy.

Co dělat při ztrátě telefonu nebo změně čísla

Tohle je přesně moment, kdy firmy bez procesu narazí. Doporučené minimum:

  • Okamžitě nahlásit IT / správci.
  • Ověření identity (např. interní postup: osobně, telefon přes HR, ověřovací otázky).
  • Reset 2FA na účtu a znovu zaregistrovat nový faktor.
  • Vynutit změnu hesla (pokud je podezření na kompromitaci).

Minimum pro malé firmy vs. “lepší” varianta

Minimum (rychle a levně)

  • 2FA povinně pro e-mail/cloud pro všechny.
  • Aplikace jako primární metoda.
  • Záložní kódy uložit bezpečně.

Lepší varianta (když to myslíš vážně)

  • Phishing-resistant 2FA pro adminy a finance (bezpečnostní klíč).
  • Podmíněné přístupy (např. vyžadovat 2FA mimo firemní síť).
  • Centrální password manager + pravidla pro sdílené účty (ideálně žádné sdílené účty).

Krátký checklist pro IT/majitele

  • Máme 2FA na e-mailu pro všechny?
  • Mají admin účty lepší ochranu než běžní uživatelé?
  • Máme záložní metodu / recovery kódy?
  • Máme postup pro ztrátu telefonu?
  • Je 2FA součást onboarding/offboarding checklistu?

Závěr: 2FA není opruz, když se to udělá chytře

2FA je jedna z mála bezpečnostních věcí, která má okamžitý dopad a nestojí skoro nic. Klíčové je udělat to tak, aby to lidem nezdržovalo práci a aby existoval postup pro situace typu ztráta telefonu. Když to nastavíš rozumně, je to pro firmu obrovský bezpečnostní upgrade za minimální náklady.