Tvåfaktorer — och varför SMS-koder är den svaga länken
25 juni 2026 · 3 min läst · Kommentarer
Den här artikeln innehåller affiliate-länkar. Om du köper via dem kan vi tjäna en provision – utan extra kostnad för dig.
Tvåfaktorsautentisering är en av de mest effektiva säkerhetsuppgraderingarna du kan göra. Men alla tvåfaktorer är inte lika – och den vanligaste versionen, den som de flesta tjänster som standard använder, har en specifik, väldokumenterad sårbarhet som de flesta inte känner till.
Tvåfaktorsautentisering fungerar genom att kräva något du känner till (ditt lösenord) och något du har (vanligtvis en kod). Även om någon stjäl ditt lösenord kan de inte logga in utan den andra faktorn. Det är riktigt bra. Frågan är vad "något du har" betyder.
Problemet med SMS-koder
SMS-koder skickas till ditt telefonnummer. Ditt telefonnummer styrs av din operatör. Och operatörer kan manipuleras - ibland genom social ingenjörskonst, ibland genom rena mutor av anställda - till att överföra ditt nummer till ett SIM-kort som angriparen kontrollerar. Detta kallas ett SIM-byte.
När ditt nummer väl har överförts går varje SMS-kod som skickas till "din" telefon till angriparens enhet. Ditt lösenord plus eventuella SMS-baserade tvåfaktorer är nu deras. Mål med högt värde – personer med betydande kryptovaluta, chefer, journalister – äventyras regelbundet på detta sätt.
Vad ska man använda istället
En autentiseringsapp genererar tidsbaserade koder på din enhet. De sänds inte över telefonnätverket – inget SIM-byte kan avlyssna dem. Appar som Google Authenticator eller Authy fungerar på detta sätt. NordPass inkluderar också en inbyggd autentisering, vilket innebär att dina 2FA-koder och lösenord finns i samma säkra valv.
- Switch SMS 2FA to an authenticator app wherever the service allows it
- Prioritise accounts with the most at stake: email, banking, primary social
- NordPass generates and stores your TOTP codes alongside your passwords
- Passkeys — where offered — are better still: no code to phish at all
Tvåfaktor är värt att ha även i sin svagaste form. SMS 2FA är mycket bättre än ingen 2FA. Men om du ska använda det tar det ungefär två minuter per konto att uppgradera från SMS till en autentiseringsapp – och luckan i skyddet är betydande.
Vanliga frågor
What is credential stuffing?+
Credential stuffing är när angripare tar e-post- och lösenordskombinationer som exponeras i ett brott och automatiskt försöker dem mot andra tjänster. Om du återanvänder lösenord ger ett intrång på en plats angripare tillgång till alla konton med samma referenser.
Is it safe to store all your passwords in one place?+
Ja, när du använder en ansedd lösenordshanterare. Det krypterade valvet är mycket säkrare än återanvända eller svaga lösenord. Lösenordshanterare som NordPass använder noll-kunskapsarkitektur – vilket innebär att inte ens företaget kan se dina lagrade lösenord.
What is two-factor authentication and should I use it?+
Tvåfaktorsautentisering (2FA) kräver ett andra verifieringssteg utöver ditt lösenord – vanligtvis en kod från en app. Använd en autentiseringsapp (Google Authenticator, Authy) snarare än SMS-koder, som är sårbara för SIM-bytesattacker.
