Vad är tvåfaktorsautentisering?

När du loggar in på din internetbank räcker det sällan med användarnamn och lösenord. Banken vill dessutom att du bekräftar identiteten via BankID, en kod i app eller en säkerhetsdosa. Mönstret kallas tvåfaktorsautentisering, ofta förkortat 2FA, och det är samma princip som när en bankomat kräver både ditt kort och en PIN-kod. Tanken är att en angripare som kommit över ditt lösenord ändå ska hindras vid spärren eftersom den andra faktorn finns på en annan plats.

Något du vet, har eller är

Säkerhetsbranschen brukar dela in autentisering i tre kategorier av faktorer. Något du vet är typiskt ett lösenord eller en PIN. Något du har är en fysisk eller digital pryl, till exempel en mobil med en autentiseringsapp, en USB-nyckel eller en bankdosa. Något du är hänvisar till biometriska egenskaper, som fingeravtryck, ansiktsigenkänning eller iris-scanning.

Tvåfaktorsautentisering kräver två faktorer från olika kategorier. Att kombinera ett lösenord med en säkerhetsfråga räknas alltså inte som 2FA, eftersom båda är kunskap. Sambandet är heller inte oberoende om koden lagras i samma enhet som lösenordet, exempelvis om både lösenordet och autentiseringsappen finns på samma telefon utan extra skydd.

SMS-kod, app eller fysisk nyckel

De vanligaste implementationerna i Sverige bygger på en av tre tekniker.

Engångskod via SMS skickas till det telefonnummer som finns kopplat till kontot. Enkelt att rulla ut, men svagast av de tre. Den som lyckas kapa SIM-kortet via SIM-swap-bedrägeri eller fånga upp meddelandet via en sårbarhet i mobilnätet kan komma åt koden.

Authenticator-app genererar tidsbaserade engångskoder, så kallade TOTP, lokalt i mobilen. Google Authenticator, Microsoft Authenticator och Authy är vanliga val. Koden ändras var 30:e sekund och sparas inte i klartext på något konto. Säkrare än SMS men sårbart om mobilen kapas eller stjäls.

Fysisk säkerhetsnyckel är en separat USB- eller NFC-enhet, till exempel Yubikey, som genererar kryptografiska bevis. Angriparen måste ha fysisk tillgång till nyckeln, vilket ger ett starkare skydd mot fjärrattacker än de andra metoderna. Används brett inom myndigheter och företag som hanterar känsliga system.

Varför lösenord ensamt inte räcker

Stora datalakar de senaste åren har gjort tiotals miljarder lösenord publika. Tjänsten Have I Been Pwned listar fler än 14 miljarder läckta inloggningar från olika tjänster. Många användare återanvänder lösenord, vilket innebär att ett intrång hos en mindre tjänst kan ge angriparen tillgång till mer kritiska konton. När en andra faktor krävs stannar attacken vid spärren även om lösenordet är känt.

Microsoft har publicerat data som visar att kontoövertaganden blockeras i över 99 procent av fallen när MFA är aktiverat. Siffran är inte hundra, vilket beror på phishing-attacker där användaren själv lämnar ifrån sig koden, men den visar varför myndigheter och säkerhetsexperter rekommenderar funktionen för alla viktiga konton.

BankID som svensk standard

I Sverige är BankID ett praktiskt exempel på 2FA i vardagsbruk. Lösenordet eller den personliga koden öppnar appen, men varje transaktion eller inloggning bekräftas dessutom genom en signering med BankID:s privata nyckel som ligger låst i mobilens säkra område. Kombinationen är något du vet (PIN-kod) och något du har (mobil med aktiverat BankID), vilket gör BankID till ett godkänt fall enligt eIDAS-förordningens krav på hög tillit.

Hur du aktiverar 2FA på dina konton

För personlig användning är inställningen sällan svår. På Google, Microsoft, Apple, Facebook, Instagram, X och de flesta större banker finns 2FA i konto-inställningarnas säkerhetsavsnitt. Stegen följer ett liknande mönster:

  1. Logga in på kontot och gå till säkerhetsinställningarna
  2. Välj 2FA, Tvåstegsverifiering eller motsvarande
  3. Välj metod, helst app eller fysisk nyckel, undvik SMS om det finns alternativ
  4. Spara reservkoder på en säker plats, fysiskt utskriven eller i en lösenordshanterare
  5. Testa inloggningen från en annan enhet för att bekräfta att det fungerar

Reservkoderna är viktigare än många tror. Tappar du mobilen utan reservkod kan ditt konto bli onåbart även för dig själv, och kundsupporten kan vara restriktiv med att låsa upp.

Phishing slipper igenom om man inte tänker efter

Tvåfaktorsautentisering stoppar nästan alla automatiska kontointrång, men inte alla. Phishing-sidor som imiterar inloggningsformulär kan be om både lösenord och autentiseringskod, och om användaren skriver in båda har angriparen allt som behövs. FIDO2-baserade fysiska nycklar är resistenta mot detta eftersom de bekräftar mot domännamnet, men SMS- och app-koder är det inte.

Andra svaga punkter är push-bombing, där angriparen skickar inloggningsförsök om och om igen i hopp om att användaren godkänner någon i tron att det är ett misstag, och svaga återställningsflöden där en supportagent kan ändra kopplad telefon eller mejl utan tillräcklig verifiering.

Med några timmars konfiguration på sina viktigaste konton blir kontona avsevärt svårare att kapa. För företag är 2FA på e-post, ekonomisystem och fjärråtkomst en av de åtgärder som CERT-SE och MSB framhåller i sina rekommendationer för grundsäkerhet. För en bredare introduktion till området, läs vidare i artikeln om it-säkerhet.