To-faktor - og hvorfor SMS-koder er det svake leddet
25. juni 2026 · 3 min lest · Kommentarer
Denne artikkelen inneholder tilknyttede lenker. Hvis du kjøper gjennom dem, kan vi tjene en provisjon – uten ekstra kostnad for deg.
Tofaktorautentisering er en av de mest effektive sikkerhetsoppgraderingene du kan gjøre. Men ikke alle tofaktorer er like – og den vanligste versjonen, den de fleste tjenester som standard, har en spesifikk, godt dokumentert sårbarhet som folk flest ikke vet om.
Tofaktorautentisering fungerer ved å kreve noe du vet (passordet ditt) og noe du har (vanligvis en kode). Selv om noen stjeler passordet ditt, kan de ikke logge på uten den andre faktoren. Det er oppriktig bra. Spørsmålet er hva "noe du har" betyr.
Problemet med SMS-koder
SMS-koder sendes til telefonnummeret ditt. Telefonnummeret ditt kontrolleres av operatøren din. Og operatører kan manipuleres – noen ganger gjennom sosial utvikling, noen ganger gjennom direkte bestikkelser av ansatte – til å overføre nummeret ditt til et SIM-kort angriperen kontrollerer. Dette kalles SIM-bytte.
Når nummeret ditt er overført, går hver SMS-kode som sendes til "din" telefon til angriperens enhet. Passordet ditt pluss eventuelle SMS-baserte tofaktorer er nå deres. Mål med høy verdi – personer med betydelig kryptovaluta, ledere, journalister – blir regelmessig kompromittert på denne måten.
Hva du skal bruke i stedet
En autentiseringsapp genererer tidsbaserte koder på enheten din. De overføres ikke over telefonnettverket – ingen SIM-bytte kan avskjære dem. Apper som Google Authenticator eller Authy fungerer på denne måten. NordPass inkluderer også en innebygd autentisering, som betyr at 2FA-kodene og passordene dine bor i det samme sikre hvelvet.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
Tofaktor er verdt å ha selv i sin svakeste form. SMS 2FA er mye bedre enn ingen 2FA. Men hvis du skal bruke den, tar det omtrent to minutter per konto å oppgradere fra SMS til en autentiseringsapp – og gapet i beskyttelsen er betydelig.
Ofte stilte spørsmål
What is credential stuffing?+
Credential stuffing er når angripere tar e-post- og passordkombinasjoner som er eksponert i ett brudd og automatisk prøver dem mot andre tjenester. Hvis du gjenbruker passord, gir et brudd på ett nettsted angripere tilgang til hver konto med samme legitimasjon.
Is it safe to store all your passwords in one place?+
Ja, når du bruker en anerkjent passordbehandler. Det krypterte hvelvet er langt sikrere enn gjenbrukte eller svake passord. Passordadministratorer som NordPass bruker null-kunnskapsarkitektur – noe som betyr at selv selskapet ikke kan se dine lagrede passord.
What is two-factor authentication and should I use it?+
Tofaktorautentisering (2FA) krever et andre verifiseringstrinn utover passordet ditt – vanligvis en kode fra en app. Bruk en autentiseringsapp (Google Authenticator, Authy) i stedet for SMS-koder, som er sårbare for SIM-bytteangrep.
