Bezpečnost Gmailu v roce 2025: dvoufaktorová ochrana, šifrování a další finty

E-maily jsou stále nejčastějším cílem útoků a Gmail – s více než 1,8 miliardy aktivních účtů – zůstává tím nejlákavějším terčem. V roce 2025 vidíme nárůst krádeží přihlašovacích tokenů, sofistikované phishingové kampaně i útoky, které obcházejí klasické dvoufaktorové ověření. Google ale nezahálí a přináší sérii novinek, díky nimž je Gmail jednou z nejbezpečnějších bezplatných e-mailových platforem.

Největší hrozby pro Gmail v roce 2025

Útočníci dnes stále častěji kradou takzvané session cookies, tedy soubory, které udržují uživatele přihlášeného i po úspěšném dvoufaktorovém ověření. Právě proto Google představuje novou technologii Device Bound Session Credentials (DBSC), která váže cookie ke konkrétnímu zařízení a z ukradeného souboru tak dělá nepoužitelný artefakt (The Verge).

Dvoufázové ověření: povinný základ

Google už v roce 2021 automaticky zapnul dvoufázové ověření (2SV) dalším 150 milionům účtů a počet stále roste. Pokud jste si 2SV ještě neaktivovali, účet je pro útočníky „nízko visící ovoce“. Základem je Google Authenticator, SMS kódy nebo autorizace klepnutím v telefonu, trendem je ale posun k metodám bez jednorázových kódů.

Passkeys: budoucnost bez hesel

Passkeys kombinují kryptografii FIDO2 a biometrii nebo PIN. Výsledkem je rychlejší přihlášení odolné vůči phishingu. Google uvádí, že za necelý rok uživatele autentifikovali více než miliardkrát a zapnuté je má už 400 milionů účtů; v běžný den tak překonávají tradiční SMS a TOTP kódy (blog.google). Passkey si vytvoříte na stránce myaccount.google.com/passkey.

Bezpečnostní klíče & Advanced Protection

Novináři, aktivisté nebo politické kampaně mohou sáhnout po Advanced Protection Program (APP). Novinkou pro rok 2025 je možnost zapojit do APP i Passkey, nejen fyzické USB/NFC klíče – usnadňuje to ochranu vysoce rizikových účtů bez dodatečných nákladů na hardware (blog.google).

DBSC: nejúčinnější obrana proti krádeži session cookie

Token-stealing útoky obcházely i dvoufaktor, protože zločinci pracovali s „živou“ relací. DBSC váže každý token na konkrétní TPM čip nebo Secure Enclave v zařízení. Funkce je v betě pro Chrome na Windows a Google avizuje rozšíření na další platformy během roku 2025 (The Verge). Administrátoři Workspace by měli DBSC hned povolit a navíc vynucovat Passkey pro 11 milionů firemních zákazníků, kteří ji už mají k dispozici.

Šifrování na třech úrovních

1. TLS v základu – Gmail automaticky šifruje spojení; od května 2025 přestal akceptovat zastaralý algoritmus 3DES (příjem), čímž odstranil poslední běžnou slabinu starších serverů (Google Podpora).
2. S/MIME (hostované i vlastní správa certifikátů) – vhodné pro firmy, které potřebují kontrolu nad klíči a digitální podpis.
3. Klientské šifrování (CSE) – Gmail Enterprise Plus nyní umožňuje uživatelům nahrávat vlastní certifikáty z klíčů PIV/CAC přímo v nastavení. Není nutný zásah administrátora a celý obsah zprávy (tělo i přílohy) zůstává nesrozumitelný i pro Google (Workspace Updates Blog).

Důvěrný režim a další vestavěné nástroje

Důvěrný režim (časové omezení + volitelné SMS heslo) dostal v roce 2024 citlivější anti-screenshot filtr. Pokud posíláte smlouvy nebo citlivé údaje externě, jde o rychlé řešení bez nutnosti CSE. Nezapomeňte ani na Security Check-Up, kontrolu přihlášených zařízení a odebrání přístupu nepotřebným aplikacím.

Praktická nastavení, která zvládnete za 5 minut

• Zapněte Passkey a tradiční 2SV si ponechte jen jako zálohu.
• V Manage your Google Account → Security vyberte „Kontrola zabezpečení“ a odeberte neaktuální přístupy.
• V Gmail Labs aktivujte „External Label“ – upozorní vás, když přijde e-mail zvenčí.
• App Passwords nastavujte jen tam, kde je to opravdu potřeba (staré IMAP klienty).
• Zapněte Spoofing & Authentication Icons (BIMI), abyste snáze rozpoznali podvržené domény.

Video: Jak nastavit Google Passkey (návod)

Jednominutový přehled kroků od vytvoření až po zálohu.

Video: Klientské šifrování v Gmailu – proč se vyplatí

Bezplatná diskuse bezpečnostních expertů o tom, pro koho je CSE vhodné.

Zdroje

1. Google Blog – Passkeys, Cross-Account Protection and new ways we’re protecting your accounts (May 2 2024): https://blog.google/technology/safety-security/google-passkeys-update-april-2024/
2. Google Workspace Updates – Hardware Key Certificate Management for client-side encryption in Gmail (June 30 2025): https://workspaceupdates.googleblog.com/2025/06/hardware-key-certificate-management-for-client-side-encryption-in-gmail.html
3. The Verge – Google Workspace is rolling out a security update to stop token stealing attacks (July 29 2025): https://www.theverge.com/news/715117/google-workspace-dbsc-cookie-stealing-attack
4. Google Support – Ciphers for Gmail SMTP TLS connections (updated May 2025): https://support.google.com/a/answer/9795993?hl=en