ADVERTORIAL

To-faktor - og hvorfor SMS-koder er det svake leddet

25. juni 2026 · 3 min lest · Kommentarer

Denne artikkelen inneholder tilknyttede lenker. Hvis du kjøper gjennom dem, kan vi tjene en provisjon – uten ekstra kostnad for deg.

Tofaktorautentisering er en av de mest effektive sikkerhetsoppgraderingene du kan gjøre. Men ikke alle tofaktorer er like – og den vanligste versjonen, den de fleste tjenester som standard, har en spesifikk, godt dokumentert sårbarhet som folk flest ikke vet om.

Tofaktorautentisering fungerer ved å kreve noe du vet (passordet ditt) og noe du har (vanligvis en kode). Selv om noen stjeler passordet ditt, kan de ikke logge på uten den andre faktoren. Det er oppriktig bra. Spørsmålet er hva "noe du har" betyr.

Problemet med SMS-koder

SMS-koder sendes til telefonnummeret ditt. Telefonnummeret ditt kontrolleres av operatøren din. Og operatører kan manipuleres – noen ganger gjennom sosial utvikling, noen ganger gjennom direkte bestikkelser av ansatte – til å overføre nummeret ditt til et SIM-kort angriperen kontrollerer. Dette kalles SIM-bytte.

Når nummeret ditt er overført, går hver SMS-kode som sendes til "din" telefon til angriperens enhet. Passordet ditt pluss eventuelle SMS-baserte tofaktorer er nå deres. Mål med høy verdi – personer med betydelig kryptovaluta, ledere, journalister – blir regelmessig kompromittert på denne måten.

Tofaktormetoder - relativ styrke
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
Autentiseringsapp (TOTP)
Good
Nettfisking i sanntid (hvis angriperen handler raskt)
Maskinvarenøkkel (passnøkkel)
Strong
Fysisk tyveri av nøkkel

Hva du skal bruke i stedet

En autentiseringsapp genererer tidsbaserte koder på enheten din. De overføres ikke over telefonnettverket – ingen SIM-bytte kan avskjære dem. Apper som Google Authenticator eller Authy fungerer på denne måten. NordPass inkluderer også en innebygd autentisering, som betyr at 2FA-kodene og passordene dine bor i det samme sikre hvelvet.

Tofaktor er verdt å ha selv i sin svakeste form. SMS 2FA er mye bedre enn ingen 2FA. Men hvis du skal bruke den, tar det omtrent to minutter per konto å oppgradere fra SMS til en autentiseringsapp – og gapet i beskyttelsen er betydelig.

Ofte stilte spørsmål

What is credential stuffing?+

Credential stuffing er når angripere tar e-post- og passordkombinasjoner som er eksponert i ett brudd og automatisk prøver dem mot andre tjenester. Hvis du gjenbruker passord, gir et brudd på ett nettsted angripere tilgang til hver konto med samme legitimasjon.

Is it safe to store all your passwords in one place?+

Ja, når du bruker en anerkjent passordbehandler. Det krypterte hvelvet er langt sikrere enn gjenbrukte eller svake passord. Passordadministratorer som NordPass bruker null-kunnskapsarkitektur – noe som betyr at selv selskapet ikke kan se dine lagrede passord.

What is two-factor authentication and should I use it?+

Tofaktorautentisering (2FA) krever et andre verifiseringstrinn utover passordet ditt – vanligvis en kode fra en app. Bruk en autentiseringsapp (Google Authenticator, Authy) i stedet for SMS-koder, som er sårbare for SIM-bytteangrep.

Passord og 2FA-koder i ett sikkert hvelv
NordPass lagrer passordene dine og genererer autentiseringskodene dine. Én app, ett hovedpassord, alt synkronisert på tvers av enhetene dine.
⭐ 4,5/5 · millioner av passord beskyttet
Try NordPass →

Sam Feldman
Sam Feldman
"Et godt banner har ingen fast form og har ingen iboende betydning."
Austin, TX · https://sams.blog/weekly
RELATED READING
Passordkatastrofen er det ingen som tenker på
Du gjenbruker ett passord. Hackerne regner med det.
Passordadministratorer, forklart for vanlige mennesker
Du er i ferd med å få det nøyaktige sikkerhetsoppsettet jeg bygde for mine egne foreldre - det som faktisk fungerer

De fleste har ett lag med beskyttelse. De mangler tre.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20 minutter, start til slutt — så kjører den i bakgrunnen. Skriv inn e-posten din, så sender jeg den.

Noe gikk galt – prøv igjen.
Du er med – sjekk innboksen din snart.
100 % konfidensielt. Avslutt abonnementet når som helst.