ADVERTORIAL

Tvåfaktorer — och varför SMS-koder är den svaga länken

25 juni 2026 · 3 min läst · Kommentarer

Den här artikeln innehåller affiliate-länkar. Om du köper via dem kan vi tjäna en provision – utan extra kostnad för dig.

Tvåfaktorsautentisering är en av de mest effektiva säkerhetsuppgraderingarna du kan göra. Men alla tvåfaktorer är inte lika – och den vanligaste versionen, den som de flesta tjänster som standard använder, har en specifik, väldokumenterad sårbarhet som de flesta inte känner till.

Tvåfaktorsautentisering fungerar genom att kräva något du känner till (ditt lösenord) och något du har (vanligtvis en kod). Även om någon stjäl ditt lösenord kan de inte logga in utan den andra faktorn. Det är riktigt bra. Frågan är vad "något du har" betyder.

Problemet med SMS-koder

SMS-koder skickas till ditt telefonnummer. Ditt telefonnummer styrs av din operatör. Och operatörer kan manipuleras - ibland genom social ingenjörskonst, ibland genom rena mutor av anställda - till att överföra ditt nummer till ett SIM-kort som angriparen kontrollerar. Detta kallas ett SIM-byte.

När ditt nummer väl har överförts går varje SMS-kod som skickas till "din" telefon till angriparens enhet. Ditt lösenord plus eventuella SMS-baserade tvåfaktorer är nu deras. Mål med högt värde – personer med betydande kryptovaluta, chefer, journalister – äventyras regelbundet på detta sätt.

Tvåfaktormetoder — relativ styrka
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
Autentiseringsapp (TOTP)
Good
Nätfiske i realtid (om angriparen agerar snabbt)
Hårdvarunyckel (lösenord)
Strong
Fysisk stöld av nyckeln

Vad ska man använda istället

En autentiseringsapp genererar tidsbaserade koder på din enhet. De sänds inte över telefonnätverket – inget SIM-byte kan avlyssna dem. Appar som Google Authenticator eller Authy fungerar på detta sätt. NordPass inkluderar också en inbyggd autentisering, vilket innebär att dina 2FA-koder och lösenord finns i samma säkra valv.

Tvåfaktor är värt att ha även i sin svagaste form. SMS 2FA är mycket bättre än ingen 2FA. Men om du ska använda det tar det ungefär två minuter per konto att uppgradera från SMS till en autentiseringsapp – och luckan i skyddet är betydande.

Vanliga frågor

What is credential stuffing?+

Credential stuffing är när angripare tar e-post- och lösenordskombinationer som exponeras i ett brott och automatiskt försöker dem mot andra tjänster. Om du återanvänder lösenord ger ett intrång på en plats angripare tillgång till alla konton med samma referenser.

Is it safe to store all your passwords in one place?+

Ja, när du använder en ansedd lösenordshanterare. Det krypterade valvet är mycket säkrare än återanvända eller svaga lösenord. Lösenordshanterare som NordPass använder noll-kunskapsarkitektur – vilket innebär att inte ens företaget kan se dina lagrade lösenord.

What is two-factor authentication and should I use it?+

Tvåfaktorsautentisering (2FA) kräver ett andra verifieringssteg utöver ditt lösenord – vanligtvis en kod från en app. Använd en autentiseringsapp (Google Authenticator, Authy) snarare än SMS-koder, som är sårbara för SIM-bytesattacker.

Lösenord och 2FA-koder i ett säkert valv
NordPass lagrar dina lösenord och genererar dina autentiseringskoder. En app, ett huvudlösenord, allt synkroniserat mellan dina enheter.
⭐ 4,5/5 · miljontals lösenord skyddade
Try NordPass →

Sam Feldman
Sam Feldman
"En bra banderoll har ingen fast form och har ingen inneboende betydelse."
Austin, TX · https://sams.blog/weekly
RELATED READING
Lösenordskatastrofen tänker ingen på
Du återanvänder ett lösenord. Hackarna räknar med det.
Lösenordshanterare, förklarat för normala människor
Du är på väg att få den exakta säkerhetsinställningen jag byggde för mina egna föräldrar - den som faktiskt fungerar

De flesta människor har ett lager av skydd. De saknar tre.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20 minuter, från början till slut — sedan körs den i bakgrunden. Ange din e-postadress så skickar jag den.

Något gick fel – försök igen.
Du är med – kolla din inkorg inom kort.
100% konfidentiell. Avsluta prenumerationen när som helst.