Slovensko

Silné heslá a dvojfaktorové overenie: ako si naozaj ochrániť účty

Redakcia 16. 6. 2026 15:24

Väčšina ľudí dnes spravuje desiatky online účtov — e-mail, internetové bankovníctvo, sociálne siete, e-shopy aj pracovné nástroje. Spoločným menovateľom všetkých je spravidla jediná vec: heslo. A práve heslo býva najslabším článkom celej obrany. Útočníci dnes nemusia heslá prelamovať takzvanou hrubou silou — oveľmi často jednoducho zneužijú prihlasovacie údaje, ktoré unikli pri starších bezpečnostných incidentoch a kolujú na internete.

Podľa každoročnej analýzy spoločnosti Verizon (správa o vyšetrovaní únikov dát) boli kompromitované prihlasovacie údaje najčastejším počiatočným vstupom pri potvrdených prienikoch opakovane, už niekoľko rokov po sebe. Inými slovami: nejde o teóriu z laboratória, ale o najbežnejší spôsob, akým sa cudzí ľudia dostávajú do účtov bežných používateľov.

Dobrá správa je, že na výrazné zlepšenie vlastnej bezpečnosti netreba byť odborníkom. Stačia tri návyky: každý účet má vlastné unikátne heslo, heslá spravuje správca hesiel namiesto vašej hlavy a citlivé účty chráni druhý faktor. V tomto článku si vysvetlíme, prečo to funguje a ako na to.

reklama

Prečo musí byť každé heslo unikátne

Najväčšia chyba nie je krátke heslo, ale to isté heslo použité na viacerých miestach. Keď uniknú prihlasovacie údaje z jednej služby, útočníci ich automatizovane skúšajú na desiatkach ďalších — tomuto sa hovorí „credential stuffing“, teda napchávanie uniknutých údajov. Ak máte na e-shope rovnaké heslo ako v e-maile, únik z menej dôležitej stránky môže otvoriť dvere k tomu najcitlivejšiemu účtu.

Spomínaná analýza Verizonu uvádza, že v priemere je len približne polovica hesiel jedného používateľa naprieč službami skutočne odlišná. To je presne ten priestor, ktorý útočníci využívajú. Riešenie je jednoduché v princípe, no ťažké v praxi bez pomôcky: každý účet potrebuje vlastné, nikde inde nepoužité heslo.

Pozor na tri rozšírené mýty

„Mám silné heslo, tak ho používam všade.“ — Aj to najsilnejšie heslo je nebezpečné, ak je rovnaké na viacerých účtoch. Stačí jeden únik.

„Stačí na koniec pridať číslo alebo výkričník.“ — Drobné obmeny typu Heslo1, Heslo2 útočníci predvídajú a skúšajú automaticky.

„Heslá si treba pravidelne meniť každé tri mesiace.“ — Nútené pravidelné výmeny dnešné bezpečnostné odporúčania už nevyžadujú; vedú k slabším a predvídateľným heslám. Heslo meňte, až keď je dôvod na podozrenie z úniku.

Dĺžka víťazí nad zložitosťou: prístupové frázy

Americký inštitút pre štandardy a technológie (NIST), z ktorého vychádza väčšina svetových odporúčaní, v aktualizovaných pravidlách (SP 800-63, revízia 4 z roku 2025) jasne posúva dôraz od zložitosti k dĺžke. Dlhé heslo zložené z náhodných slov je spravidla bezpečnejšie aj zapamätateľnejšie než krátka kombinácia znakov, čísel a symbolov.

Namiesto „Tr5%kQ!“ je tak vhodnejšia takzvaná prístupová fráza — napríklad štyri až päť nesúvisiacich slov spojených dohromady. NIST odporúča umožniť heslá až do dĺžky 64 znakov a akceptovať aj medzery. Tam, kde je heslo jediným spôsobom prihlásenia, sa ako rozumné minimum uvádza okolo 15 znakov; v kombinácii s druhým faktorom môže byť kratšie. Dôležité pravidlo znie: čím dlhšie, tým lepšie.

Správca hesiel: jedno heslo namiesto stoviek

Ak má mať každý účet vlastné dlhé a unikátne heslo, je nereálne pamätať si ich všetky. Presne na to slúži správca hesiel — aplikácia, ktorá vygeneruje a bezpečne uloží silné heslá za vás. Vy si zapamätáte jediné takzvané hlavné heslo (ideálne dlhú prístupovú frázu), ktoré odomyká celý trezor.

Správca hesiel má aj nečakanú bezpečnostnú výhodu proti podvodným stránkam: heslo automaticky doplní len na tej webovej adrese, pre ktorú bolo uložené. Ak vás phishingový e-mail zavedie na falošnú napodobeninu prihlasovacej stránky, správca heslo neponúkne — a to je samo osebe varovný signál. Vyberajte renomovaných poskytovateľov a hlavné heslo nikdy nikam nezapisujte nešifrovane.

Dvojfaktorové overenie: SMS, aplikácia, alebo kľúč?

Druhý faktor (2FA, prípadne viacfaktorové overenie) znamená, že na prihlásenie nestačí len heslo — treba ešte druhý dôkaz, že ste to naozaj vy. Aj keď útočník získa vaše heslo, bez druhého faktora sa nedostane dnu. Nie všetky druhé faktory sú však rovnako bezpečné.

Najslabšou, hoci stále lepšou než nič, je SMS s overovacím kódom. Problémom je takzvaný SIM swap — útočník presvedčí operátora, aby vaše telefónne číslo previedol na svoju SIM kartu, a následne prijíma vaše overovacie kódy. V zahraničí už boli zdokumentované prípady, keď takýto útok viedol k vykradnutiu účtov v prepočte za desiatky miliónov; jeden medializovaný americký spor z roku 2025 vyústil do nariadenej kompenzácie zo strany mobilného operátora.

Bezpečnejšou voľbou je overovacia aplikácia, ktorá generuje jednorazové kódy (TOTP) priamo v telefóne. Kódy vznikajú lokálne v zariadení, fungujú aj bez signálu a nedajú sa odcudziť výmenou SIM karty. Pre väčšinu ľudí je overovacia aplikácia rozumný a dostupný štandard pre dôležité účty.

Rebríček druhých faktorov od najlepšieho

1. Prístupový kľúč alebo hardvérový bezpečnostný kľúč — odolné voči phishingu.

2. Overovacia aplikácia s jednorazovými kódmi — bezpečná a dostupná voľba pre bežné použitie.

3. SMS kód — lepší než nič, no zraniteľný voči výmene SIM karty. Použite ho, len ak nie je iná možnosť.

Prístupové kľúče: budúcnosť bez hesla

Najnovším a najbezpečnejším riešením sú prístupové kľúče (po anglicky „passkeys“), ktoré stoja na štandardoch organizácie FIDO Alliance. Namiesto hesla využívajú dvojicu kryptografických kľúčov: súkromný kľúč nikdy neopustí vaše zariadenie a prihlásenie potvrdíte odtlačkom prsta, tvárou alebo PIN-om, podobne ako pri odomknutí telefónu.

Kľúčovou výhodou je odolnosť voči phishingu. Prístupový kľúč je naviazaný na konkrétnu webovú adresu, takže ho podvodná stránka nedokáže zneužiť — neexistuje kód, ktorý by ste mohli omylom prezradiť. Práve preto FIDO Alliance aj veľkí poskytovatelia smerujú k prístupovým kľúčom ako k náhrade za kombináciu hesla a SMS. Podporu už ponúkajú e-mailové služby, sociálne siete aj banky; tam, kde je dostupná, je rozumné ju zapnúť.

Päť krokov, ktoré urobte ešte dnes

1. Nainštalujte si správcu hesiel a vymyslite jednu silnú prístupovú frázu ako hlavné heslo.

2. Pre e-mail a banku nastavte nové, unikátne a dlhé heslo — e-mail je kľúč k ostatným účtom.

3. Zapnite dvojfaktorové overenie, ideálne cez overovaciu aplikáciu namiesto SMS.

4. Kde je to možné, aktivujte prístupový kľúč (passkey).

5. Bezpečne uložte záložné kódy pre prípad straty telefónu.

Bezpečnosť účtov nie je o jednom dokonalom kroku, ale o vrstvách. Unikátne dlhé heslo v správcovi hesiel zastaví zneužitie uniknutých údajov, druhý faktor zastaví toho, kto by heslo aj tak získal, a prístupové kľúče napokon odstraňujú heslo ako slabé miesto úplne. Začať pri tých najdôležitejších účtoch — e-maile a banke — a postupne pokračovať pri ostatných je realistický plán pre každého.

Zdroje: NIST – odporúčania k tvorbe hesiel a SP 800-63 rev.4 (2025); FIDO Alliance – štandardy passkeys/FIDO2; Verizon Data Breach Investigations Report (kompromitované prihlasovacie údaje a opätovné používanie hesiel); odborné analýzy SIM-swap útokov (Proofpoint, Keepnet, medializované prípady 2025). Spracovala redakcia.