SMS-baseret 2FA er usikker

Q: Hvad er tofaktorgodkendelse (2FA) og hvorfor er det vigtigt?

Tofaktorgodkendelse (2FA) er et ekstra sikkerhedslag, der kræver to former for godkendelse før adgang til en konto. I stedet for kun at bruge en adgangskode, har du også brug for en anden faktor, såsom en engangskode fra en autentificeringsapp, en sikkerhedsnøgle i hardware eller biometrisk autentifikation. Det reducerer væsentligt risikoen for uautoriseret adgang, selvom en angriber får fat i din adgangskode.

Q: Hvad er de stærkeste typer 2FA?

De mest sikre anden faktorer er dem, der er phishing-resistente og ikke let kan opsnappes. Disse inkluderer FIDO2/WebAuthn-sikkerhedsnøgler (f.eks. YubiKey, Titan Security Key), TOTP-baserede autentificeringsapps (Google Authenticator, Authy) og Passkeys. SMS-baseret 2FA og e-mail-baseret 2FA er svagere og bør undgås hvis muligt.

Q: Hvorfor betragtes SMS-baseret 2FA som usikker?

SMS-baseret 2FA er sårbar overfor SIM-swap-angreb, SS7-udnyttelser og phishing. Angribere kan kapre dit telefonnummer og opsnappe godkendelseskoder, hvilket gør det til en upålidelig form for sikkerhed. Brug i stedet en mere sikker mulighed som en hardware-nøgle eller en TOTP-autentificeringsapp.

Q: Hvad sker der, hvis jeg mister min anden faktor (f.eks. telefon, YubiKey)?

Hvis du mister adgang til din anden faktor, inkluderer genopretningsmuligheder at bruge backup-koder leveret af tjenesten, bruge en backup autentificeringsenhed eller kontakte support for kontogenopretning. Det anbefales at opsætte flere autentifikationsmetoder for at forhindre nedlukning.

Hvorfor Psono undgår SMS-baseret 2FA og fokuserer på stærkere autentifikationsmetoder

Når det kommer til at sikre dine adgangskoder og følsomme data, er ikke alle tofaktorgodkendelsesmetoder (2FA) skabt lige. Mange tjenester tilbyder stadig SMS-baseret 2FA, men sikkerhedsbevidste platforme som Psono undgår det helt til fordel for stærkere muligheder som WebAuthn, YubiKey og TOTP (tidsbaserede engangskoder).

Dette er ikke bare en præference—det er en nødvendighed for robust sikkerhed. SMS-baseret 2FA har betydelige sårbarheder, og virkelige angreb har vist, at det er et let mål for hackere. I dette blogindlæg vil vi forklare, hvorfor SMS 2FA er svagt og fremhæve rigtige angreb, der viser dets svagheder.

🔒 Svaghederne ved SMS-baseret 2FA

SMS-baseret autentifikation er sårbar over for flere angrebsmetoder, herunder:

SIM-swapping – Angribere narrer mobilselskaber til at overføre et offers telefonnummer til et nyt SIM-kort og dermed opsnappe alle SMS-koder.
SS7-angreb – Udnytter fejl i det globale Signaling System No. 7 (SS7)-protokol for at opsnappe SMS-beskeder eksternt.
Phishing & social engineering – Snyde brugere til at afsløre SMS-baserede koder via falske login-sider.

Disse risici gør SMS-baseret 2FA til en af de svageste former for autentifikation.

🛡️ Hvorfor Psono bruger stærkere 2FA

Psono prioriterer sikkerhed og understøtter kun robuste 2FA-metoder, herunder:

WebAuthn (FIDO2) – Bruger public-key kryptografi og biometrik eller hardware-sikkerhedsnøgler (f.eks. YubiKey).
YubiKey & andre sikkerhedsnøgler – Fysiske tokens, der kræver direkte adgang for at godkende.
TOTP (Google Authenticator, Authy, etc.) – Engangskoder genereret på en enhed i stedet for at blive sendt via SMS.

Disse metoder er betydeligt mere sikre, fordi de er phishing-resistente, ikke er afhængige af mobilselskaber og eliminerer risiciene ved fjernkontrol.

📢 Rigtige angreb på SMS 2FA

For at illustrere, hvorfor Psono nægter at implementere SMS-baseret autentifikation, viser vi her rigtige angreb, der udnyttede dets svagheder:

1. Kinas målretning af amerikanske telekommunikationer (SS7-udnyttelser og mere)

I februar 2024 udsendte FBI og CISA en fælles advarsel om kinesiske statssponsorerede hackere, der målrettede kommercielle telekommunikationsnetværk. Disse angreb udnyttede sårbarheder i SS7—protokollen brugt til at dirigere SMS-beskeder. Angriberne var i stand til at opsnappe autentifikationsbeskeder, hvilket viser, hvordan SMS 2FA kan kompromitteres på et systemisk niveau.

2. Twitter (X) CEO Jack Dorsey’s SIM-swap-angreb (2019)

I 2019 blev den daværende Twitter-CEO, Jack Dorsey, udsat for et SIM-swap-angreb. Hackere overbeviste hans mobilselskab om at overføre hans telefonnummer til deres SIM-kort, hvilket gjorde det muligt for dem at opsnappe 2FA SMS-koder og få kontrol over hans Twitter-konto.

3. Coinbase SIM-swap-angreb (2021) – Tusindvis af dollars stjålet

I 2021 oplyste Coinbase, at over 6.000 kunder mistede midler på grund af et stort SIM-swap-angreb. Hackere nulstillede ofrenes adgangskoder ved brug af opsnappede SMS-koder, fik fuld kontrol over konti og stjal kryptovalutaer.

4. Reddits databrud i 2018 – SMS 2FA svigtede

I 2018 oplevede Reddit et databrud, hvor hackere fik adgang til medarbejderkonti på trods af, at der var aktiveret SMS-baseret 2FA. Angriberne brugte opsnappede SMS-koder til at omgå autentifikation, hvilket eksponerede følsomme brugerdata.

🚀 Fremtiden for 2FA: Gå ud over SMS

Hvis du stadig bruger SMS-baseret 2FA, er det tid til at skifte til et stærkere alternativ som WebAuthn, YubiKey eller TOTP-baseret autentifikation. Psonos engagement i sikkerhed betyder, at de ikke vil gå på kompromis ved at tilbyde SMS-baseret autentifikation.

Vil du forblive sikker? Brug hardware-sikkerhedsnøgler, TOTP-apps eller biometrisk autentifikation—aldrig kun SMS-baseret autentifikation.

Sikre dine konti på den rette måde—slip af med SMS 2FA!

Ofte stillede spørgsmål om dvefaktorgodkendelse (2FA)

Hvad er tofaktorgodkendelse (2FA) og hvorfor er det vigtigt?

Tofaktorgodkendelse (2FA) er et ekstra lag af sikkerhed, der kræver to former for godkendelse før adgang til en konto. I stedet for blot at bruge en adgangskode, har du også brug for en anden faktor, såsom:

En engangskode fra en autentificeringsapp (TOTP)
En sikkerhedsnøgle i hardware (f.eks. YubiKey, Titan Security Key)
Biometrisk autentifikation (fingeraftryk, ansigtsgenkendelse)

Det reducerer væsentligt risikoen for uautoriseret adgang, selv hvis en angriber får fat i din adgangskode.

Hvad er de stærkeste typer 2FA?

De mest sikre anden faktorer er dem, der er phishing-resistente og ikke let kan opsnappes. Disse inkluderer:

✅ FIDO2/WebAuthn-sikkerhedsnøgler (f.eks. YubiKey, Titan Security Key)
✅ TOTP-baserede autentificeringsapps (Google Authenticator, Authy, Aegis)
✅ Passkeys (adgangskodefri autentifikation ved brug af biometrik eller sikkerhedsnøgler)

Svagere metoder (at undgå):

❌ SMS-baseret 2FA – Modtagelig for SIM-swap-angreb og SS7-udnyttelser
❌ E-mail-baseret 2FA – Kan kompromitteres, hvis din e-mail er hacket

Hvorfor betragtes SMS-baseret 2FA som usikker?

SMS-baseret 2FA er sårbar over for flere angrebsmetoder, såsom:

SIM-swap-angreb – Hackere narrer din mobiludbyder til at overføre dit nummer til deres SIM-kort, så de kan modtage dine 2FA-koder.
SS7-udnyttelser – Angribere opsnapp afft SMS-beskeder ved at udnytte sårbarheder i teleinfrastrukturen.
Phishing-angreb – Falske websites narrer brugere til at indtaste deres SMS-koder, hvilket giver angribere mulighed for at logge ind.

🔹 Bedre alternativer: Brug sikkerhedsnøgler eller TOTP-apps i stedet for SMS 2FA.

Hvad sker der, hvis jeg mister min anden faktor (f.eks. telefon, YubiKey)?

Hvis du mister adgang til din anden faktor, kan du genoprette din konto ved at:

Bruge backup-koder – Mange tjenester giver engangskoder ved opsætning af 2FA. Opbevar dem sikkert.
Brug af en backup-enhed – Nogle autentificeringsapps tillader flere enheder at opbevare TOTP-koder.
Kontakt support – Nogle tjenester tilbyder kontogenopretning, men det kan være langsomt og kræver bevis for identitet.
Bruge en sekundær hardware-nøgle – Hvis din tjeneste understøtter det, registrer flere sikkerhedsnøgler (primær + backup).

🔹 Gode råd: Altid opsæt flere autentifikationsmetoder i tilfælde af, at én fejler.

Kan hackere omgå 2FA?

Mens 2FA væsentligt forbedrer sikkerheden, kan nogle metoder omgås med avancerede angreb:

🚨 Almindelige angrebsmetoder:

Phishing-angreb – Falske login-sider narrer brugere til at indtaste både adgangskode og 2FA-kode.
Man-in-the-Middle (MitM) angreb – Opsnapning af autentifikationstokener over usikre netværk.
SIM-swapping – Omstilling af SMS-koder til en angribers telefon.

✅ Sådan forhindres det:

Brug phishing-resistent autentifikation (WebAuthn, passkeys, sikkerhedsnøgler).
Aktiver enhedsbaseret autentifikation (så token ikke kan genbruges eksternt).
Vær forsigtig med mistænkelige login-sider – Verificer altid URL'er før indtastning af oplysninger.

skrevet af Sascha Pfeiffer den February 12, 2025

Leder du efter mere?

Tjek vores seneste artikler her!