Důvěryhodná zařízení (Zapamatovat zařízení při 2FA)

3 min čtení

Pokud máte zapnuté 2FA a chcete při přihlašování z běžného PC nebo mobilu přeskočit 6místný kód, zaškrtněte "Zapamatovat toto zařízení" - po dobu 30 dnů se vás nebudeme znovu ptát na TOTP.

Jak to funguje

1. Při prvním úspěšném 2FA loginu na daném zařízení zaškrtněte "Zapamatovat toto zařízení"
2. Uložíme do prohlížeče HTTP-only cookie s podepsaným tokenem (HMAC, nelze ji manipulovat)
3. Při dalším přihlášení (stejný prohlížeč, stejné zařízení) tuto cookie najdeme a krok 2FA přeskočíme
4. Po 30 dnech token vyprší a budete muset TOTP zadat znovu

Správa důvěryhodných zařízení

V Nastaveních -> sekce Zabezpečení -> Důvěryhodná zařízení vidíte seznam:

• Název zařízení (z user-agenta - např. "Chrome na Windows 11")
• IP a země posledního přihlášení
• Datum přidání a posledního použití
• Tlačítko Odebrat - okamžitě zruší důvěru (cookie se při dalším požadavku odmítne)

Kdy zařízení odebrat

• Pokud jste se přihlásili na cizím nebo veřejném PC (kavárna, knihovna)
• Pokud jste ztratili nebo prodali notebook či mobil
• Pokud vidíte v seznamu zařízení, které neznáte (zkontrolujte IP / zemi)

Bezpečnostní pojistky

• HMAC podpis: token je podepsaný serverovým secretem - útočník nemůže vyrobit platnou cookie bez prolomení secretu
• HTTP-only: JavaScript na stránce cookie nevidí (ochrana proti XSS exfiltraci)
• Secure flag: cookie se posílá pouze přes HTTPS
• Per-account: token obsahuje user ID - cookie ukradená z účtu A neprojde na účet B
• Auto-expiry: 30 dní platnosti, poté je nutné TOTP znovu
• Při změně hesla (přes "Zapomenuté heslo" nebo password reset) se všechna důvěryhodná zařízení automaticky odstraní - útočník s ukradenou cookie již nemůže 2FA přeskočit