SMS-basert 2FA er utrygt

Q: Hva er de sterkeste typene av 2FA?

De mest sikre andre faktorene er de som er phishing-resistente og ikke enkelt kan avlyttes. Disse inkluderer FIDO2/WebAuthn sikkerhetsnøkler (f.eks. YubiKey, Titan Security Key), TOTP-baserte autentiseringsapper (Google Authenticator, Authy) og passkeys. SMS-basert 2FA og e-postbasert 2FA er svakere og bør unngås hvis mulig.

Q: Hvorfor anses SMS-basert 2FA som usikkert?

SMS-basert 2FA er sårbar for SIM-swap angrep, SS7-exploits og phishing. Angripere kan kapre telefonnummeret ditt og avskjære autentiseringskoder, noe som gjør det til en upålitelig form for sikkerhet. Bruk i stedet et mer sikkert alternativ som en sikkerhetsnøkkel eller en TOTP-autentiseringsapp.

Q: Hva skjer hvis jeg mister min andre faktor (f.eks. telefon, YubiKey)?

Hvis du mister tilgang til din andre faktor, inkluderer gjenopprettingsalternativer bruk av sikkerhetskopikoder utstedt av tjenesten, bruk av en reserveautentiseringsenhet, eller kontakt med support for kontogjenoppretting. Det anbefales å sette opp flere autentiseringsmetoder for å forhindre låsing.

Hvorfor Psono unngår SMS-basert 2FA og fokuserer på sterkere autentiseringsmetoder

Når det gjelder å sikre passordene dine og sensitive data, er ikke alle to-faktor autentiseringsmetoder (2FA) like sikre. Mange tjenester tilbyr fortsatt SMS-basert 2FA, men sikkerhetsbevisste plattformer som Psono unngår det helt til fordel for sterkere alternativer som WebAuthn, YubiKey og TOTP (tidsbaserte engangspassord).

Dette er ikke bare en preferanse—det er en nødvendighet for sterk sikkerhet. SMS-basert 2FA har store sårbarheter, og angrep i den virkelige verden har vist at det er et enkelt mål for hackere. I dette blogginnlegget vil vi forklare hvorfor SMS 2FA er svak og fremheve reelle angrep som demonstrerer dens svakheter.

🔒 Svakheten ved SMS-basert 2FA

SMS-basert autentisering er sårbar for flere angrepsmetoder, inkludert:

SIM-bytte – Angripere lurer mobilleverandører til å overføre et offer sitt telefonnummer til et nytt SIM, slik at alle SMS-koder kan avlyttes.
SS7-angrep – Utnytter svakheter i det globale Signaling System No. 7 (SS7)-protokollet for å avskjære SMS-meldinger eksternt.
Phishing og sosial manipulering – Lokker brukere til å oppgi SMS-baserte koder via falske innloggingssider.

Disse risikoene gjør SMS-basert 2FA til en av de svakeste formene for autentisering.

🛡️ Hvorfor Psono bruker sterkere 2FA

Psono prioriterer sikkerhet og støtter kun robuste 2FA metoder, inkludert:

WebAuthn (FIDO2) – Bruker offentlig nøkkelkryptografi og biometri eller sikkerhetsnøkler (f.eks. YubiKey).
YubiKey og andre sikkerhetsnøkler – Fysiske token som krever direkte tilgang for å autentisere.
TOTP (Google Authenticator, Authy, etc.) – Engangspassord generert på en enhet i stedet for overført over SMS.

Disse metodene er betydelig sikrere fordi de er phishing-resistente, avhengige ikke av mobilleverandører, og eliminerer fjernovertakelsesrisiko.

📢 Reelle angrep på SMS 2FA

For å illustrere hvorfor Psono nekter å implementere SMS-basert autentisering, her er reelle angrep som utnyttet dens svakheter:

1. Kinas målretting av amerikansk telekommunikasjon (SS7-exploits og mer)

I februar 2024 utstedte FBI og CISA en felles advarsel om kinesisk statsstøttede hackere som målretter kommersielle telekommunikasjonsnettverk. Disse angrepene utnyttet sårbarheter i SS7—protokollen brukt til å rute SMS-meldinger. Angriperne var i stand til å avskjære autentiseringsmeldinger, noe som demonstrerer hvordan SMS 2FA kan kompromitteres på systemisk nivå.

2. Twitter (X) CEO Jack Dorsey's SIM Swap-angrep (2019)

I 2019 fikk daværende Twitter CEO, Jack Dorsey, sin konto kapret gjennom et SIM-bytteangrep. Hackere overbeviste hans mobilleverandør om å overføre telefonnummeret hans til deres SIM-kort, noe som gjorde dem i stand til å avskjære 2FA SMS-koder og få kontroll over hans Twitter-konto.

3. Coinbase SIM Swap-angrep (2021) – Tusenvis av dollar stjålet

I 2021 avslørte Coinbase at over 6 000 kunder mistet midler på grunn av et masse SIM-bytteangrep. Hackere tilbakestilte ofrenes passord ved hjelp av avskjærte SMS-koder, fikk full kontroll over kontoer og stjal kryptovalutaer.

4. Reddits 2018 datasikkerhetsbrudd – SMS 2FA mislyktes

I 2018 ble Reddit utsatt for et datasikkerhetsbrudd hvor hackere fikk tilgang til ansattkontoer til tross for at SMS-basert 2FA var aktivert. Angripere brukte avskjærte SMS-koder for å omgå autentisering, og eksponerte sensitiv brukerdata.

🚀 Fremtiden for 2FA: Gå utover SMS

Hvis du fortsatt bruker SMS-basert 2FA, er det på tide å bytte til et sterkere alternativ som WebAuthn, YubiKey eller TOTP-basert autentisering. Psonos forpliktelse til sikkerhet betyr at de ikke vil kompromittere ved å tilby SMS-basert autentisering.

Vil du holde deg sikker? Bruk sikkerhetsnøkler, TOTP-apper eller biometri—stol aldri kun på SMS-basert autentisering.

Sikre kontoene dine på riktig måte—slutt med SMS 2FA!

Vanlige spørsmål om to-faktor autentisering (2FA)

Hva er to-faktor autentisering (2FA) og hvorfor er det viktig?

To-faktor autentisering (2FA) er et ekstra sikkerhetslag som krever to former for autentisering før tilgang gis til en konto. I stedet for bare å bruke et passord, trenger du også en andre faktor, som for eksempel:

En engangskode fra en autentiseringsapp (TOTP)
En sikkerhetsnøkkel (f.eks. YubiKey, Titan Security Key)
Biometrisk autentisering (fingeravtrykk, ansiktsgjenkjenning)

Det reduserer risikoen for uautorisert tilgang vesentlig, selv om en angriper får tak i passordet ditt.

Hva er de sterkeste typene av 2FA?

De mest sikre andre faktorene er de som er phishing-resistente og ikke enkelt kan avlyttes. Disse inkluderer:

✅ FIDO2/WebAuthn sikkerhetsnøkler (f.eks. YubiKey, Titan Security Key)
✅ TOTP-baserte autentiseringsapper (Google Authenticator, Authy, Aegis)
✅ Passkeys (passordløs autentisering med biometrisk verifisering eller sikkerhetsnøkler)

Svakere metoder (å unngå):

❌ SMS-basert 2FA – Mottakelig for SIM-bytteangrep og SS7-exploits
❌ E-postbasert 2FA – Kan kompromitteres hvis e-posten din blir hacket

Hvorfor anses SMS-basert 2FA som usikkert?

SMS-basert 2FA er sårbar for flere angrepsmetoder, for eksempel:

SIM-bytteangrep – Hackere lurer mobilleverandøren din til å overføre nummeret ditt til deres SIM, slik at de kan motta 2FA-kodene dine.
SS7-exploits – Angripere avlytter SMS-meldinger ved å utnytte svakheter i telekominfrastrukturen.
Phishing-angrep – Falske nettsteder lurer brukere til å oppgi deres SMS-koder, slik at angriperne kan logge inn.

🔹 Bedre alternativer: Bruk sikkerhetsnøkler eller TOTP-apper i stedet for SMS 2FA.

Hva skjer hvis jeg mister min andre faktor (f.eks. telefon, YubiKey)?

Hvis du mister tilgang til din andre faktor, kan du gjenopprette kontoen din ved:

Bruk av sikkerhetskopieringskoder – Mange tjenester tilbyr engangs sikkerhetskopikoder når du setter opp 2FA. Oppbevar dem trygt.
Bruk av en reserveenhet – Noen autentiseringsapper tillater flere enheter å lagre TOTP-koder.
Kontakt med support – Noen tjenester tilbyr kontogjenoppretting, men dette kan være tregt og krever identitetsbevis.
Bruk av en sekundær sikkerhetsnøkkel – Hvis tjenesten din støtter det, registrer flere sikkerhetsnøkler (primær + reserve).

🔹 Pro tips: Alltid sett opp flere autentiseringsmetoder i tilfelle en feiler.

Kan hackere omgå 2FA?

Selv om 2FA betydelig forbedrer sikkerheten, kan noen metoder omgås med avanserte angrep:

🚨 Vanlige angrepsmetoder:

Phishing-angrep – Falske innloggingssider lurer brukere til å oppgi både passord og 2FA-kode.
Man-in-the-Middle (MitM) angrep – Avskjæring av autentiseringstokener over usikre nettverk.
SIM-bytte – Omdirigering av SMS-koder til en angripers telefon.

✅ Hvordan forhindre det:

Bruk phishing-resistent autentisering (WebAuthn, passkeys, sikkerhetsnøkler).
Aktiver enhetsbundet autentisering (slik at tokener ikke kan gjenbrukes eksternt).
Vær forsiktig med mistenkelige innloggingssider – Verifiser alltid URL-er før du oppgir legitimasjon.

skrevet av Sascha Pfeiffer den February 12, 2025

Ser du etter mer?

Sjekk ut våre nyeste artikler her!