Tvåfaktorsautentisering på djupet — TOTP, SMS eller hårdvarunyckel?
För robotarInte all tvåfaktor är skapad lika. Skillnaden mellan en SMS-kod och en fysisk säkerhetsnyckel kan vara avgörande om du utsätts för ett riktat angrepp.
Tvåfaktorsautentisering (2FA) är en av de mest effektiva skyddsåtgärderna du kan vidta — men "2FA aktiverat" döljer en enorm kvalitetsskillnad beroende på vilken metod du använder. Här är en genomgång från svagast till starkast.
SMS-koder är det vanligaste alternativet och det klart svagaste. En angripare som lyckas med SIM-swapping — att övertala operatören att flytta ditt telefonnummer till ett SIM-kort de kontrollerar — mottar dina SMS-koder istället för dig. Det sker i Sverige varje vecka. SMS-koder är ändå bättre än ingenting, men ska ses som ett golv, inte ett tak.
TOTP (Time-based One-Time Password) är tidsbegränsade engångskoder genererade av en app — Google Authenticator, Aegis (Android) eller Raivo (iOS). Koden är giltig i 30 sekunder, genereras lokalt på din enhet och kräver ingen nätverksuppkoppling. TOTP kan inte SIM-swappas och är standardvalet för de flesta tjänster.
Svaghet med TOTP: om du anger en TOTP-kod på en phishing-sajt kan angriparen använda koden omedelbart (inom 30-sekundersfönstret) för att logga in. Det kallas real-time phishing och kringgår TOTP. Lösningen: använd en lösenordshanterare som automatiskt fyller inloggningsuppgifter — den fyller bara i på rätt domän.
Hårdvarunycklar (FIDO2/WebAuthn) — YubiKey, Google Titan Key, eller SoloKey — är det starkaste alternativet för konsumentbruk. Nyckeln är en fysisk enhet (USB-A, USB-C eller NFC) som kopplas till din dator eller telefon vid inloggning. Den är kryptografiskt bunden till den exakta domänen du besöker — phishing-sajter kan inte utnyttja den, även om du råkar klicka dit.
YubiKey 5 NFC kostar 450–550 kr och fungerar med Google, GitHub, Microsoft, Dropbox, och hundratals andra tjänster. Köp alltid två och registrera båda — om du tappar den enda nyckeln och inte har backup-koder är du utelåst.
Passkeys är en ny standard som kombinerar bekvämligheten av biometri (Face ID, fingeravtryck) med säkerheten hos FIDO2. Apple, Google och Microsoft har alla lanserat stöd. Passkeys är i praktiken en mjukvaru-FIDO2-nyckel lagrad säkert i din enhets TPM-chip. De är motståndskraftiga mot phishing av samma skäl som hårdvarunycklar — bindningen är domänspecifik.
Rekommenderad prioritering: för vanliga konton — TOTP via Aegis/Raivo. För känsliga konton (e-post, lösenordshanterare, bankID-kopplat) — hårdvarunyckel eller passkey. SMS-koder: använd bara när inget annat erbjuds.
Relaterade artiklar

SSL-stripning attack: Hur attackers stjäl din data och hur du skyddar dig
En SSL-stripning attack är en man-in-the-middle-attack där hackare tvingar din webbläsare att använda osäker HTTP istället för krypterad HTTPS. Lär dig hur attacken fungerar och vilka konkreta åtgärder du kan vidta för att skydda dig.
Läs artikelnVad är en SIEM-lösning och hur väljer jag rätt?
En SIEM-lösning är avgörande för modern cybersäkerhet. Lär dig vad det är och hur du väljer rätt system för ditt företag.
Läs artikelnHur man installerar en smart hem-hub: En komplett guide
Lär dig hur du installerar en smart hem-hub med vår kompletta guide. Vi guidar dig genom varje steg för att skapa ditt smarta hem.
Läs artikelnVad är en kryptografisk hashfunktion och hur används den?
En kryptografisk hashfunktion är en matematisk algoritm som omvandlar data av godtycklig storlek till en fast längd, känd som en hash. Denna process är fundamental inom modern cybersäkerhet för att säkerställa dataintegritet och autentisering.
Läs artikeln