SMS-baserad 2FA är osäker

Q: Vilka är de starkaste typerna av 2FA?

De mest säkra andra faktorerna är de som är phishing-resistenta och inte kan avlyssnas lätt. Dessa inkluderar FIDO2/WebAuthn-säkerhetsnycklar (t.ex. YubiKey, Titan Security Key), TOTP-baserade autentiseringsappar (Google Authenticator, Authy) och Passkeys. SMS-baserad 2FA och e-postbaserad 2FA är svagare och bör undvikas om möjligt.

Q: Varför anses SMS-baserad 2FA vara osäker?

SMS-baserad 2FA är sårbar för SIM-kapningsattacker, SS7-exploateringar och phishing. Angripare kan kapa ditt telefonnummer och avlyssna autentiseringskoder, vilket gör det till en opålitlig form av säkerhet. Använd istället en mer säker lösning som en hårdvarusäkerhetsnyckel eller en TOTP-autentiseringsapp.

Q: Vad händer om jag förlorar min andra faktor (t.ex. telefon, YubiKey)?

Om du förlorar åtkomst till din andra faktor, inkluderar återhämtningsalternativ att använda backupkoder som tillhandahålls av tjänsten, använda en reservautentiseringsenhet eller kontakta support för kontotillgång. Det rekommenderas att ställa in flera autentiseringsmetoder för att förhindra att bli utelåst.

Q: Kan hackare kringgå 2FA?

Även om 2FA avsevärt förbättrar säkerheten kan vissa metoder kringgås genom phishing, man-in-the-middle-attacker och SIM-kapning. För att förhindra detta, använd phishing-resistent autentisering som hårdvarusäkerhetsnycklar, passkeys eller enhetsbunden autentisering.

Varför Psono undviker SMS-baserad 2FA och fokuserar på starkare autentiseringsmetoder

När det gäller att skydda dina lösenord och känsliga data är inte alla tvåfaktorsautentiseringsmetoder (2FA) lika säkra. Många tjänster erbjuder fortfarande SMS-baserad 2FA, men säkerhetsmedvetna plattformar som Psono undviker det helt till förmån för starkare alternativ som WebAuthn, YubiKey och TOTP (tidsbaserade engångslösenord).

Detta är inte bara en preferens—det är en nödvändighet för robust säkerhet. SMS-baserad 2FA har betydande sårbarheter, och riktiga attacker har visat att det är ett lätt mål för hackare. I detta blogginlägg kommer vi att bryta ner varför SMS 2FA är svagt och lyfta fram riktiga attacker som demonstrerar dess brister.

🔒 Svagheten med SMS-baserad 2FA

SMS-baserad autentisering är sårbar för flera attackmetoder, inklusive:

SIM-kapning – Angripare lurar mobiloperatörer att överföra offrets telefonnummer till ett nytt SIM och avlyssnar alla SMS-koder.
SS7-attacker – Utnyttjar brister i det globala Signaling System No. 7 (SS7)-protokollet för att avlyssna SMS-meddelanden på distans.
Phishing & Social Engineering – Lurar användare att avslöja SMS-baserade koder via falska inloggningssidor.

Dessa risker gör SMS-baserad 2FA till en av de svagaste formerna av autentisering.

🛡️ Varför Psono använder starkare 2FA

Psono prioriterar säkerhet och stödjer endast robusta 2FA-metoder, inklusive:

WebAuthn (FIDO2) – Använder offentlig nyckelkryptografi och biometrik eller hårdvarusäkerhetsnycklar (t.ex. YubiKey).
YubiKey & andra säkerhetsnycklar – Fysiska tokens som kräver direkt åtkomst för att autentisera.
TOTP (Google Authenticator, Authy etc.) – Engångslösenord genererade på enheten istället för överfört via SMS.

Dessa metoder är avsevärt säkrare eftersom de är phishing-resistenta, förlitar sig inte på mobiloperatörer och eliminerar riskerna för att bli övertagna på distans.

📢 Riktiga attacker mot SMS 2FA

För att illustrera varför Psono vägrar implementera SMS-baserad autentisering, här är riktiga attacker som utnyttjat dess svagheter:

1. Kinas riktade attacker mot amerikanska telekommunikationer (SS7-exploateringar & mer)

I februari 2024 utfärdade FBI och CISA en gemensam varning om kinesiska statssponsrade hackers som riktade sig mot kommersiella telekommunikationsnätverk. Dessa attacker utnyttjade svagheter i SS7—protokollet som används för att dirigera SMS-meddelanden. Angriparna lyckades avlyssna autentiseringsmeddelanden, vilket visar hur SMS 2FA kan komprometteras på en systemnivå.

2. Twitter (X) VD Jack Dorseys SIM-kapningsattack (2019)

År 2019 kapades Twitters VD vid den tiden, Jack Dorseys konto genom en SIM-kapningsattack. Hackare övertalade hans mobiloperatör att överföra hans telefonnummer till deras SIM-kort, vilket gjorde det möjligt för dem att avlyssna 2FA SMS-koder och få kontroll över hans Twitter-konto.

3. Coinbase SIM-kapningsattacker (2021) – Tusentals dollar stulna

År 2021 meddelade Coinbase att över 6 000 kunder förlorade pengar på grund av en massiv SIM-kapningsattack. Hackare återställde offrens lösenord med hjälp av avlyssnade SMS-koder, fick full kontroll över konton och stal kryptovalutor.

4. Reddits dataintrång 2018 – SMS 2FA misslyckades

År 2018 drabbades Reddit av ett dataintrång där hackare fick tillgång till medarbetarkonton trots att SMS-baserad 2FA var aktiverad. Angripare använde avlyssnade SMS-koder för att kringgå autentisering, vilket exponerade känsliga användardata.

🚀 2FA:s framtid: Gå bortom SMS

Om du fortfarande använder SMS-baserad 2FA är det dags att byta till ett starkare alternativ som WebAuthn, YubiKey eller TOTP-baserad autentisering. Psonos åtagande till säkerhet innebär att man inte kompromissar genom att erbjuda SMS-baserad autentisering.

Vill du vara säker? Använd hårdvarusäkerhetsnycklar, TOTP-appar eller biometrisk autentisering—förlita dig aldrig enbart på SMS-baserad autentisering.

Säkra dina konton på rätt sätt—lämna SMS 2FA!

Vanligt förekommande frågor om tvåfaktorsautentisering (2FA)

Vad är tvåfaktorsautentisering (2FA) och varför är det viktigt?

Tvåfaktorsautentisering (2FA) är ett extra säkerhetslager som kräver två former av autentisering innan åtkomst till ett konto beviljas. Istället för att bara använda ett lösenord behöver du också en andra faktor, såsom:

En engångskod från en autentiseringsapp (TOTP)
En hårdvarusäkerhetsnyckel (t.ex. YubiKey, Titan Security Key)
Biometrisk autentisering (fingeravtryck, ansiktsigenkänning)

Det minskar risken för obehörig åtkomst avsevärt, även om en angripare får tag i ditt lösenord.

Vilka är de starkaste typerna av 2FA?

De mest säkra andra faktorerna är de som är phishing-resistenta och inte kan avlyssnas lätt. Dessa inkluderar:

✅ FIDO2/WebAuthn-säkerhetsnycklar (t.ex. YubiKey, Titan Security Key)
✅ TOTP-baserade autentiseringsappar (Google Authenticator, Authy, Aegis)
✅ Passkeys (lösenordslös autentisering med hjälp av biometrik eller hårdvarusäkerhetsnycklar)

Svagare metoder (för att undvika):

❌ SMS-baserad 2FA – Mottaglig för SIM-kapningsattacker och SS7-exploateringar
❌ E-postbaserad 2FA – Kan komprometteras om din e-post hackas

Varför anses SMS-baserad 2FA vara osäker?

SMS-baserad 2FA är sårbar för flera attackmetoder, såsom:

SIM-kapningsattacker – Hackare lurar din mobiloperatör att överföra ditt nummer till deras SIM, vilket gör att de kan ta emot dina 2FA-koder.
SS7-exploateringar – Angripare avlyssnar SMS-meddelanden genom att utnyttja sårbarheter i telekominfrastrukturen.
Phishing-attacker – Falska webbplatser lurar användare att skriva in sina SMS-koder, vilket gör att angripare kan logga in.

🔹 Bättre alternativ: Använd hårdvarusäkerhetsnycklar eller TOTP-appar istället för SMS 2FA.

Vad händer om jag förlorar min andra faktor (t.ex. telefon, YubiKey)?

Om du förlorar åtkomst till din andra faktor, kan du återhämta ditt konto genom att:

Använda backupkoder – Många tjänster tillhandahåller engångs-backupkoder när man ställer in 2FA. Förvara dem säkert.
Använda en reserv-enhet – Vissa autentiseringsappar tillåter flera enheter att lagra TOTP-koder.
Kontakta support – Vissa tjänster erbjuder kontotillgång, men detta kan vara långsamt och kräver bevis på identitet.
Använda en andra hårdvarusäkerhetsnyckel – Om din tjänst stödjer det, registrera flera säkerhetsnycklar (huvud + reserv).

🔹 Proffstips: Ställ alltid in flera autentiseringsmetoder ifall en går sönder.

Kan hackare kringgå 2FA?

Även om 2FA avsevärt förbättrar säkerheten, kan vissa metoder kringgås med avancerade attacker:

🚨 Vanliga attackmetoder:

Phishing-attacker – Falska inloggningssidor lurar användare att skriva in både lösenord och 2FA-kod.
Man-in-the-Middle (MitM)-attacker – Interceptera autentiseringstoken över osäkra nätverk.
SIM-kapning – Omdirigera SMS-koder till en angripares telefon.

✅ Så här förhindrar du det:

Använd phishing-resistent autentisering (WebAuthn, passkeys, säkerhetsnycklar).
Aktivera enhetsbunden autentisering (så token inte kan återanvändas på distans).
Var försiktig med misstänkta inloggningssidor – Verifiera alltid URL:en innan du anger inloggningsuppgifter.

skriven av Sascha Pfeiffer den February 12, 2025

Letar du efter mer?

Kolla in våra senaste artiklar här!