ADVERTORIAL

To-faktor - og hvorfor SMS-koder er det svage led

25. juni 2026 · 3 min læst · Kommentarer

Denne artikel indeholder affiliate links. Hvis du køber gennem dem, kan vi tjene en kommission - uden ekstra omkostninger for dig.

To-faktor-godkendelse er en af ​​de mest effektive sikkerhedsopgraderinger, du kan foretage. Men ikke alle to-faktorer er ens - og den mest almindelige version, den som de fleste tjenester er standard til, har en specifik, veldokumenteret sårbarhed, som de fleste mennesker ikke kender til.

To-faktor-autentificering fungerer ved at kræve noget, du kender (dit kodeord) og noget, du har (typisk en kode). Selvom nogen stjæler din adgangskode, kan de ikke logge ind uden den anden faktor. Det er virkelig godt. Spørgsmålet er, hvad "noget du har" betyder.

Problemet med SMS-koder

SMS-koder sendes til dit telefonnummer. Dit telefonnummer styres af dit mobilselskab. Og operatører kan manipuleres - nogle gange gennem social engineering, nogle gange gennem direkte bestikkelse af medarbejdere - til at overføre dit nummer til et SIM-kort, som angriberen kontrollerer. Dette kaldes et SIM-swap.

Når dit nummer er overført, går hver SMS-kode, der sendes til "din" telefon, til angriberens enhed. Din adgangskode plus enhver SMS-baseret to-faktor er nu deres. Mål af høj værdi - mennesker med betydelig kryptovaluta, ledere, journalister - bliver jævnligt kompromitteret på denne måde.

To-faktor metoder — relativ styrke
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
Authenticator app (TOTP)
Good
Phishing i realtid (hvis angriberen handler hurtigt)
Hardwarenøgle (adgangsnøgle)
Strong
Fysisk tyveri af nøglen

Hvad skal man bruge i stedet

En godkendelsesapp genererer tidsbaserede koder på din enhed. De transmitteres ikke over telefonnetværket - ingen SIM-swap kan opsnappe dem. Apps som Google Authenticator eller Authy fungerer på denne måde. NordPass inkluderer også en indbygget autentificering, hvilket betyder, at dine 2FA-koder og adgangskoder bor i den samme sikre boks.

To-faktor er værd at have selv i sin svageste form. SMS 2FA er langt bedre end ingen 2FA. Men hvis du skal bruge det, tager det omkring to minutter pr. konto at opgradere fra SMS til en autentificeringsapp - og hullet i beskyttelsen er betydeligt.

Ofte stillede spørgsmål

What is credential stuffing?+

Credential stuffing er, når angribere tager e-mail- og adgangskodekombinationer, der er afsløret i ét brud, og automatisk prøver dem mod andre tjenester. Hvis du genbruger adgangskoder, giver et brud på ét websted angribere adgang til hver konto med de samme legitimationsoplysninger.

Is it safe to store all your passwords in one place?+

Ja, når du bruger en velrenommeret adgangskodeadministrator. Den krypterede boks er langt mere sikker end genbrugte eller svage adgangskoder. Adgangskodeadministratorer som NordPass bruger nul-viden-arkitektur - hvilket betyder, at selv virksomheden ikke kan se dine gemte adgangskoder.

What is two-factor authentication and should I use it?+

To-faktor-godkendelse (2FA) kræver et andet verifikationstrin ud over din adgangskode - typisk en kode fra en app. Brug en godkendelsesapp (Google Authenticator, Authy) i stedet for SMS-koder, som er sårbare over for SIM-swap-angreb.

Adgangskoder og 2FA-koder i én sikker boks
NordPass gemmer dine adgangskoder og genererer dine autentificeringskoder. Én app, én hovedadgangskode, alt synkroniseret på tværs af dine enheder.
⭐ 4,5/5 · millioner af adgangskoder beskyttet
Try NordPass →

Sam Feldman
Sam Feldman
"Et godt banner har ingen fast form og har ingen iboende betydning."
Austin, TX · https://sams.blog/weekly
RELATED READING
Adgangskodekatastrofen tænker ingen på
Du genbruger én adgangskode. Hackerne regner med det.
Adgangskodeadministratorer, forklaret for normale mennesker
Du er ved at få den nøjagtige sikkerhedsopsætning, jeg byggede til mine egne forældre - den, der faktisk virker

De fleste mennesker har et lag beskyttelse. De mangler tre.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20 minutter, start til slut - så kører det i baggrunden. Indtast din e-mail, så sender jeg den.

Noget gik galt – prøv venligst igen.
Du er med - tjek din indbakke snart.
100% fortroligt. Afmeld når som helst.