This is the Trace Id: a63aca57082563b414a5ac7bccc89290
Přeskočit na hlavní obsah
Zabezpečení od Microsoftu
Žena, která používá telefon v kanceláři.

Co je dvojúrovňové ověřování (2FA)?

Zjistěte, jak dvojúrovňové ověřování chrání identity pomocí dvoustupňového ověření a proč ho firmy používají k ochraně svých aplikací, prostředků a dat.
Vynucení silného ověřování
Dvojúrovňové ověřování posiluje zabezpečení účtu tím, že vyžaduje dvě formy ověření identity. Pomáhá zabránit neoprávněnému přístupu, snižuje riziko porušení zabezpečení a podporuje dodržování předpisů napříč systémy a uživateli.

Hlavní poznatky

  • Dvojúrovňové ověřování posiluje zabezpečení přihlašování tím, že vyžaduje dvě různé formy ověřování identity.
  • Použití dvojúrovňového ověřování pomáhá zabránit neoprávněnému přístupu, i když je odcizeno nebo prozrazeno heslo.
  • Mezi běžné metody dvojúrovňového ověřování patří nabízená oznámení mobilní aplikace se schváleními, kódy SMS, biometrikou a fyzickými klíči zabezpečení.
  • Dvojúrovňové ověřování snižuje dopad útoků phishing, krádeže přihlašovacích údajů a útoků hrubou silou.
  • Implementace dvojúrovňového ověřování podporuje dodržování předpisů a chrání osobní i organizační data.
  • Integrované nástroje Microsoftu, jako je Authenticator a vícefaktorové ověřování, usnadňují a škálují zabezpečené přihlašování.

Co je dvojúrovňové ověřování?

Dvojúrovňové ověřování je metoda zabezpečení, která přidává druhou vrstvu ověření identity. Místo toho, abyste se spoléhali jenom na heslo, vyžaduje dvojúrovňové ověřování, abyste svou identitu potvrdili pomocí dvou různých faktorů. Tím se snižuje riziko neoprávněného přístupu, i když dojde k ohrožení zabezpečení hesla.

Jak dvojúrovňové ověřování funguje

Mezi faktory, které tvoří dvojúrovňové ověřování, patří:
 
  • Něco, co znáte: heslo, PIN kód nebo heslo.
  • Něco, co máte: fyzické zařízení, jako je smartphone, token zabezpečení, klíč nebo čipová karta.
  • Něco, co jste: biometrické identifikátory, jako je otisk prstu, rozpoznávání obličeje nebo shoda hlasu.
Když systém používá přesně dvě z těchto kategorií, jedná se o dvojúrovňové ověřování. To dělá z dvojúrovňového ověřování specifickou podmnožinu vícefaktorového ověřování (MFA), které může používat dva nebo více faktorů.

Proč je dvojúrovňové ověřování důležité

Samotná hesla – i když jsou podporována silnými zásadami ochrany hesel – už nejsou dostatečná k ochraně před kybernetickými hrozbami. Phishing, credential stuffing (hromadné přihlašovacích údajů), sdílení hesel a útoky hrubou silou můžou ohrozit jednofaktorové ověřování. Dvojúrovňové ověřování pomáhá zmírňovat tato rizika tím, že vyžaduje druhou formu ověření, kterou je pro útočníky mnohem obtížnější napodobit nebo ukrást.

Vyžadováním dalšího faktoru poskytuje dvojúrovňové ověřování silnější ochranu uživatelských účtů, citlivých dat a organizačních zdrojů. Je to jeden z nejjednodušších a nejefektivnějších kroků ke zlepšení celkového stavu zabezpečení.

Jak dvojúrovňové ověřování funguje v reálném světě?

Proces dvojúrovňového ověřování přidává do standardního pracovního postupu zabezpečení přihlášení krok ověření v reálném čase. Tento včasný přístup značně ztěžuje útočníkům přístup k vašemu účtu, i když znají vaše heslo.

Jak vypadá typický proces dvojúrovňového ověřování

Tady je postup, jak dvojúrovňové ověřování obvykle funguje během přihlašování:
 
  • Zadáte své uživatelské jméno a heslo jako obvykle.
  • Zobrazí se výzva k dokončení druhého kroku ověření pomocí některé z těchto možností:
    • Nabízené oznámení se schválením nebo časově omezeným kódem z ověřovací aplikace, jako je Authenticator.
    • Časově omezený jednorázový přístupový kód (TOTP) zaslaný prostřednictvím SMS nebo e-mailu.
    • Biometrický sken, jako je například otisk prstu nebo rozpoznávání obličeje.
    • Fyzický klíč zabezpečení vložený do zařízení nebo klepnutí prostřednictvím technologie NFC (Near Field Communication).
Proč je důležité načasování

Většina kódů TOTP dvojúrovňového ověřování je krátkodobá, často vyprší za 30 až 60 sekund. To omezuje časové okno, ve kterém by útočník mohl použít ukradený kód. Díky tomu, že se tento proces odehrává v reálném čase, je dvojúrovňové ověřování bezpečnější než pouhé heslo. Zajišťuje, že přístup je vázán jak na vaše přihlašovací údaje, tak na vaši fyzickou přítomnost nebo zařízení v okamžiku přihlášení.

Běžné typy metod dvojúrovňového ověřování a jejich fungování

Při výběru druhého faktoru, který bude kombinován s heslem, máte několik možností, z nichž každá nabízí různou úroveň zabezpečení a pohodlí.

Nejběžnější metody dvojúrovňového ověřování
 
  • SMS kódy jsou jednorázové kódy odeslané na důvěryhodné telefonní číslo prostřednictvím textové zprávy. Jedná se o jednu z nejčastěji používaných metod, i když je méně bezpečná než jiné kvůli rizikům, jako je výměna SIM karty.
  • Nabízená oznámení jsou výzvy odesílané do mobilní aplikace, jako je Authenticator. Uživatelé klepnutím na „schválit“ nebo „zamítnout“ potvrdí pokus o přihlášení.
  • Hardwarové tokeny jsou fyzická zařízení, jako jsou klíčenky Key Fob, která generují časově omezené jednorázové kódy. Jedná se o jednu z nejstarších forem dvojúrovňového ověřování, která se dnes používá méně často.
  • Hlasové hovory nebo automatizované systémy, které volají uživateli a doručují ověřovací kód hlasem, se často používají jako záložní možnost nebo možnost usnadnění přístupu.
  • Biometrické faktory zahrnují skeny otisků prstů, rozpoznávání obličeje a skenování duhovky. Jak se tyto technologie stávají dostupnějšími, stávají se populárním druhým faktorem, zejména na mobilních zařízeních.
Přechod k ověřování bez hesla

Zatímco tradiční dvojúrovňové ověřování spoléhá na hesla a druhý faktor, přihlašování bez hesla si získává stále větší oblibu. Tento přístup využívá metody silného ověřování, jako jsou biometrika nebo klíče, a zcela eliminuje potřebu hesel. I bez hesla platí principy dvojúrovňového ověřování: k ověření své identity musíte předložit více typů důkazů.

Klíčové přínosy dvojúrovňového ověřování pro firmy a jednotlivce

Přidání dvojúrovňového ověřování je jedním z nejúčinnějších způsobů, jak zlepšit zabezpečení identit. Pomáhá chránit účty zaměstnanců i zákazníků před neoprávněným přístupem, snižuje riziko úniků dat a podporuje dodržování právních předpisů, aniž by to zabránilo problémům s přihlašováním. V rámci přístupu nulové důvěry (Zero Trust) dvojúrovňové ověřování zajišťuje, aby byly ověřovány všechny žádosti o přístup bez ohledu na polohu nebo zařízení.

Proč používat dvojúrovňové ověřování?

Díky dvojúrovňovému ověřování můžete:
 
  • Chránit citlivá data zaměstnanců a zákazníků.
  • Zabránit převzetí účtů a neoprávněnému přístupu k systému.
  • Posílit ochranu před cílenými útoky a odcizenými přihlašovacími údaji.
Základní výhody používání dvojúrovňového ověřování
 
  • Lepší ochrana proti odcizení hesel. I když dojde k prozrazení hesla, útočníci stále potřebují druhý faktor, aby získali přístup k účtu.
  • Snížený dopad útoků phishing, credential stuffing a útoků hrubou silou. Tyto běžné hrozby jsou mnohem méně účinné, pokud je zavedeno dvojúrovňové ověřování.
  • Pohodlí. Mnoho moderních metod dvojúrovňového ověřován, jako jsou nabízená oznámení a biometrika, nevyžadují další zařízení.
  • Podporuje dodržování právních předpisů. Dvojúrovňové ověřování pomáhá splňovat bezpečnostní požadavky architektur, jako jsou ISO 27001 (International Organization for Standardization), pokyny institutu NIST (National Institute of Standards and Technology), Obecné nařízení o ochraně osobních údajů (GDPR) a zákon o odpovědnosti za přenos údajů o zdravotním pojištění (HIPAA).
  • Minimalizované riziko úniku dat. Omezení neoprávněného přístupu snižuje riziko vystavení osobních i firemních dat.

Jak přenést dvojúrovňové ověřování do vaší organizace

Implementace dvojúrovňového ověřování je praktický krok ke snížení rizika pro osobní i firemní účty. Přidává vrstvu ochrany kolem zranitelných sítí, databází a identifikačních systémů, což útočníkům ztěžuje získání přístupu, a to i v případě odcizení přihlašovacích údajů.

Osvědčené postupy pro úspěšné přijetí dvojúrovňového ověřován

Pokud chcete využít dvojúrovňové ověřování na maximum a zajistit skvělé uživatelské prostředí:
 
  • Zaregistrujte více zařízení nebo záložních možností. Zabraňte náhodnému uzamčení tím, že uživatelům umožníte přidat sekundární zařízení nebo vygenerovat záložní kódy.
  • Vzdělávejte lidi v bezpečném používání. Pomozte zaměstnancům rozpoznat pokusy o phishing, potvrdit si důvěryhodné aplikace a weby a pochopit, kdy a jak mají reagovat na výzvy dvojúrovňového ověřování.
  • Spravujte důvěryhodná zařízení s rozvahou. Omezte, jak často se uživatelům zobrazuje výzva k ověření na osobních nebo spravovaných zařízeních, aniž by došlo k omezení zabezpečení.
  • Poskytněte bezpečné možnosti obnovení. Podporujte obnovení účtu pomocí alternativních metod přihlášení nebo bezpečně uložených záložních kódů, abyste snížili náklady na podporu.
Nastavení a správa dvojúrovňového ověřování pomocí aplikace Authenticator

Díky podpoře nabízených oznámení, časově omezených kódů a biometrických přihlašovacích možností zjednodušuje aplikace Authenticator používání dvojúrovňového ověřování na osobních i firemních zařízeních. Uživatelé můžou spravovat své účty, přidávat nové metody přihlašování a monitorovat aktivitu – to vše z jednoho místa. Organizace můžou používat aplikaci Authenticator s Microsoft Entra ID k podpoře škálovatelného nasazení a správy zásad. Pro organizace, které používají federaci identit nebo jednotné přihlašování, podporuje Microsoft Entra ID integraci s moderními protokoly, jako je OpenID Connect (OIDC) aby se dvojúrovňové ověřování konzistentně vynucovalo napříč cloudovými a místními prostředími. Získejte podrobného průvodce nasazením dvojúrovňového ověřování.

Jaký je rozdíl mezi dvojúrovňovým ověřováním a vícefaktorovým ověřováním?

Dvojúrovňové ověřování a vícefaktorové ověřování spolu souvisí, ale nejsou zaměnitelné. Oba přístupy zahrnují ověření identity pomocí více než jen hesla, ale existuje zásadní rozdíl v tom, kolik faktorů je vyžadováno:
 
  • Dvojúrovňové ověřování používá přesně dva odlišné faktory k ověření identity. Například zadání hesla (něco, co znáte) a pak potvrzení kódu zaslaného na váš telefon (něco, co máte).
  • Vícefaktorové ověřování je širší kategorie, která zahrnujedva nebo více faktorů. To může znamenat kombinování hesla, výzvy mobilní aplikace a otisku prstu.
Takže veškeré dvojúrovňové ověřování je vícefaktorové ověřování, ale ne každé vícefaktorové ověřování je omezeno na dva faktory.

Proč organizace volí vícefaktorové ověřování

Organizace s vyššími požadavky na zabezpečení často využívají vícefaktorové ověřování, aby mohly:
 
  • Plnit přísnější požadavky na dodržování předpisů.
  • Chránit citlivé systémy nebo účty s vysokými oprávněními.
  • Snížit pravděpodobnost úspěšných pokusů o útok phishing nebo zosobnění.
Přidání třetího faktoru, jako je biometrika nebo fyzický klíč zabezpečení, zvyšuje složitost pro útočníky, aniž by to výrazně zpomalovalo legitimní uživatele.

Microsoft doporučuje organizacím nastavit vícefaktorové ověřování pro všechny uživatele a zajistit, aby byly zavedeny záložní metody. Spoléhat se pouze na dva faktory, zejména pokud jeden z nich závisí na jediném kanálu, jako je SMS, může představovat riziko. Vícefaktorové ověřování s redundantními možnostmi pomáhá zajistit nepřetržitý přístup, pokud jedna metoda přestane být dostupná, například při výpadku telefonní sítě.

Jak silné ověřování je integrováno do řešení Zabezpečení od Microsoftu

Do nástrojů Microsoftu, které již používáte k přihlašování, je integrováno silné ověřování k ochraně citlivých dat a plnění cílů v oblasti dodržování předpisů. Ať už spravujete osobní účty nebo zabezpečujete podnikové prostředí, tyto funkce podporují bezpečnější přístup napříč zařízeními a službami.

Zabezpečené přihlašování pro osobní a profesionální účty

Chraňte identity pomocí nabízených oznámení, časově omezených kódů a biometrických možností, jako je rozpoznávání obličeje nebo otisky prstů, pomocí aplikace Authenticator. Schvalujte přihlášení jedním klepnutím, bez nutnosti zadávat heslo. Aplikace také podporuje účty jiných společností než Microsoft, takže máte vše na jednom místě.

Flexibilní vynucování napříč organizacemi

V podnikových prostředích vícefaktorové ověřování prostřednictvím Microsoft Entra podporuje širokou škálu metod, mezi které patří:
 
  • Jednorázová hesla.
  • Nabízená oznámení se schváleními.
  • Textové zprávy a hlasové hovory.
  • Ověřování pomocí certifikátů.
  • Biometrické přihlášení pomocí Windows Hello.
  • Klíče.
Bezpečnostní týmy můžou používat zásady, které vyžadují dvojúrovňové ověřování v konkrétních scénářích, jako jsou neznámá přihlášení, aplikace s vysokým rizikem nebo nespravovaná zařízení. Tyto zásady se přizpůsobují kontextu uživatele, aniž by přidávaly zbytečné překážky.

Podpora obnovení a kontinuity

Aby všichni zůstali ve spojení a byli v bezpečí, umožňují služby Microsoft více způsobů přihlášení a možností obnovení. Pokud dojde ke ztrátě nebo resetování zařízení, můžete se spolehnout na záložní kódy nebo alternativní metody, abyste znovu získali přístup bez ohrožení zabezpečení.

Integrované funkce ověřování, jako jsou tyto, pomáhají snižovat riziko ohrožení účtu, zjednodušují správu identit a podporují vyvíjející se potřeby řízení přístupu.
Zdroje informací

Další informace o dvojúrovňovém ověřování

Žena, která sedí před notebookem a něco vysvětluje v kanceláři.
Funkce produktu

Posílení zabezpečení přihlašování s využitím vícefaktorového ověřování Microsoft Entra

Přidejte dvojúrovňové nebo vícefaktorové ověřování, abyste ochránili uživatele a data.
Další informace
Muž, který pracuje na stolním počítači a notebooku.
Řešení

Zabezpečení aplikací a dat v celé organizaci

Pomocí řešení identity a přístupu k síti můžete spravovat přístup, vynucovat zásady a snižovat rizika.
Další informace

Časté otázky

  • Dvojúrovňové ověřování je proces přihlašování, který pro přístup k účtu vyžaduje dva různé typy ověření identity. Obvykle se jedná o něco, co znáte (například heslo) a něco, co máte (například mobilní zařízení nebo klíč zabezpečení). Tím, že vyžaduje obojí, přidává dvojúrovňové ověřování vrstvu ochrany proti neoprávněnému přístupu.
  • Ochrana dvojúrovňovým ověřováním funguje tak, že uživatelé musí před získáním přístupu ověřit svou identitu dvěma samostatnými metodami. Tím se snižuje riziko neoprávněného přístupu, i když dojde k ohrožení zabezpečení hesla. Chrání před běžnými hrozbami, jako jsou krádeže přihlašovacích údajů, útoky phishing a útoky hrubou silou.
  • Příkladem dvojúrovňového ověřování je přihlášení k účtu pomocí hesla a následné potvrzení kódu odeslaného do telefonu. Tím se zkombinuje něco, co znáte (heslo) s něčím, co máte (telefon). Mezi další příklady patří použití otisku prstu nebo schválení přihlášení prostřednictvím ověřovací aplikace, jako je Authenticator.
  • Dvojúrovňové ověřování pomáhá zabránit neoprávněnému přístupu k účtům přidáním druhé vrstvy ověření identity. Snižuje riziko úniků dat způsobených napadenými hesly a podporuje dodržování standardů zabezpečení. Mnoho organizací používá dvojúrovňové ověřování k ochraně citlivých systémů a identit uživatelů.
  • Dvojúrovňové ověřování je klíčovou součástí modelu zabezpečení nulové důvěry (Zero Trust), který předpokládá, že by se žádnému uživateli ani zařízení nemělo automaticky důvěřovat. V architektuře nulové důvěry (Zero Trust) pomáhá dvojúrovňové ověřování ověřit identitu před udělením přístupu k aplikacím nebo datům a podporuje princip „výslovného ověření“.
  • Dvojúrovňové ověřování může snížit úspěšnost útoků phishing tím, že vyžaduje druhý krok ověření nad rámec odcizeného hesla. Pokud chcete ochranu ještě vylepšit, zvažte přijetí metod vícefaktorového ověřování (MFA), jako jsou hardwarové klíče zabezpečení nebo klíče, které chrání před útoky nežádoucími osobami.
  • Dvojúrovňové ověřování je důležité, protože přidává k uživatelským účtům další vrstvu zabezpečení, což pomáhá zabránit neoprávněnému přístupu. Chrání před hrozbami, jako jsou krádeže hesla, útoky phishing a automatizované útoky. Dvojúrovňové ověřování se obecně doporučuje jako základní bezpečnostní opatření pro jednotlivce i organizace.

Sledujte zabezpečení od Microsoftu