# Tvåfaktorsautentisering på djupet — TOTP, SMS eller hårdvarunyckel?

*Säkerhet hemma · 10 min · 2026-04-26*

> Inte all tvåfaktor är skapad lika. Skillnaden mellan en SMS-kod och en fysisk säkerhetsnyckel kan vara avgörande om du utsätts för ett riktat angrepp.

Tvåfaktorsautentisering (2FA) är en av de mest effektiva skyddsåtgärderna du kan vidta — men "2FA aktiverat" döljer en enorm kvalitetsskillnad beroende på vilken metod du använder. Här är en genomgång från svagast till starkast.

SMS-koder är det vanligaste alternativet och det klart svagaste. En angripare som lyckas med SIM-swapping — att övertala operatören att flytta ditt telefonnummer till ett SIM-kort de kontrollerar — mottar dina SMS-koder istället för dig. Det sker i Sverige varje vecka. SMS-koder är ändå bättre än ingenting, men ska ses som ett golv, inte ett tak.

TOTP (Time-based One-Time Password) är tidsbegränsade engångskoder genererade av en app — Google Authenticator, Aegis (Android) eller Raivo (iOS). Koden är giltig i 30 sekunder, genereras lokalt på din enhet och kräver ingen nätverksuppkoppling. TOTP kan inte SIM-swappas och är standardvalet för de flesta tjänster.

Svaghet med TOTP: om du anger en TOTP-kod på en phishing-sajt kan angriparen använda koden omedelbart (inom 30-sekundersfönstret) för att logga in. Det kallas real-time phishing och kringgår TOTP. Lösningen: använd en lösenordshanterare som automatiskt fyller inloggningsuppgifter — den fyller bara i på rätt domän.

Hårdvarunycklar (FIDO2/WebAuthn) — YubiKey, Google Titan Key, eller SoloKey — är det starkaste alternativet för konsumentbruk. Nyckeln är en fysisk enhet (USB-A, USB-C eller NFC) som kopplas till din dator eller telefon vid inloggning. Den är kryptografiskt bunden till den exakta domänen du besöker — phishing-sajter kan inte utnyttja den, även om du råkar klicka dit.

YubiKey 5 NFC kostar 450–550 kr och fungerar med Google, GitHub, Microsoft, Dropbox, och hundratals andra tjänster. Köp alltid två och registrera båda — om du tappar den enda nyckeln och inte har backup-koder är du utelåst.

Passkeys är en ny standard som kombinerar bekvämligheten av biometri (Face ID, fingeravtryck) med säkerheten hos FIDO2. Apple, Google och Microsoft har alla lanserat stöd. Passkeys är i praktiken en mjukvaru-FIDO2-nyckel lagrad säkert i din enhets TPM-chip. De är motståndskraftiga mot phishing av samma skäl som hårdvarunycklar — bindningen är domänspecifik.

Rekommenderad prioritering: för vanliga konton — TOTP via Aegis/Raivo. För känsliga konton (e-post, lösenordshanterare, bankID-kopplat) — hårdvarunyckel eller passkey. SMS-koder: använd bara när inget annat erbjuds.