🔑 Guide
Av · · 8 min lesing

Tofaktor-autentisering: Slik gjør du kontoene 100x sikrere

Tofaktor-autentisering (2FA) blokkerer 99% av kontotyveri-forsøk — også når passordet ditt er lekket. Komplett guide for å sette opp på Google, Facebook, BankID, Vipps, Microsoft og e-post.

Hvorfor passord alene ikke er nok i 2026

Hvis du bare beskytter Google-, Facebook- eller bankkontoen din med et passord, har du i praksis bare én lås på ytterdøra. Selv om du har et godt passord, finnes det fire måter en svindler kan få tak i det:

  1. Datalekkasje. En tjeneste du har konto hos blir hacket. Passordet ditt havner i en database på det mørke nettet.
  2. Phishing. Du blir lurt til å skrive inn passordet på en falsk innlogging-side.
  3. Gjenbrukte passord. Du bruker samme passord på flere sider. Én lekkasje åpner alle.
  4. Keyloggere/skadelig programvare. En infisert PC fanger opp alt du skriver.

Tofaktor-autentisering (2FA) løser alle fire. Selv om noen får tak i passordet, kommer de seg ikke inn — fordi de mangler "den andre faktoren": en kode fra mobilen din, en sikkerhetsnøkkel, eller et fingeravtrykk.

Microsoft har offisielt slått fast at 2FA blokkerer over 99,9 % av automatiserte kontotyveri-forsøk. Det er den enkleste og mest effektive sikkerhetstiltaket en privatperson kan gjøre.

Hva er en "andre faktor" egentlig?

2FA betyr at du må bevise hvem du er på to forskjellige måter:

  • Noe du vet — passordet ditt
  • Noe du har — mobilen, en sikkerhetsnøkkel
  • Noe du er — fingeravtrykk, ansikt

Når du logger inn, må du oppgi minst to av disse. Selv om svindleren får tak i én, mangler de fortsatt den andre.

De 4 typene 2FA — fra dårligst til best

🟥 SMS-koder (svakeste — bedre enn ingenting)

Du får en kode tilsendt på SMS når du logger inn. Problemet: SIM-swap-svindel. Svindleren ringer mobiloperatøren din, utgir seg for å være deg, og får dem til å flytte nummeret ditt til deres SIM-kort. Plutselig får svindleren kodene dine, ikke du.

SMS-2FA er fortsatt mye bedre enn ingen 2FA. Men hvis du har valget — velg en av de neste.

🟧 Authenticator-apper (godt valg for de fleste)

En app på mobilen din genererer en 6-sifret kode som endres hvert 30. sekund. Koden lever kun på din enhet — ingenting sendes via SMS som kan avlyttes.

Anbefalte apper:

  • Google Authenticator — enkel, gratis, men ingen sikkerhetskopi (mister du mobilen, mister du tilgangen)
  • Authy — anbefales: krypterer sikkerhetskopier i sky, kan brukes på flere enheter
  • Microsoft Authenticator — bra hvis du allerede er i Microsoft-økosystemet
  • 1Password / Bitwarden — innebygd 2FA i passordhåndterer

🟩 Passkeys (fremtidens standard)

I 2024–2025 begynte Google, Apple, Microsoft og Facebook å rulle ut passkeys — en passordfri innloggingsmetode basert på fingeravtrykk eller ansiktsgjenkjenning. Du registrerer enheten din én gang; deretter logger du inn ved å bekrefte med Face ID eller fingertrykk.

Fordeler: Kan ikke phishes (passkeyen er bundet til domenet du registrerte deg på). Mister du mobilen, har Apple/Google sikkerhetskopier i iCloud/Google.

Hvis tjenesten støtter passkey — bruk det.

🟦 Fysiske sikkerhetsnøkler (mest sikre)

En liten USB-eller-NFC-nøkkel (YubiKey, Google Titan) som du plugger i datamaskinen eller tapper mot mobilen. Dette er hva Google bruker internt — og siden de innførte det i 2017, har ingen ansatt blitt phishet.

Anbefalt for: e-postkontoen din (mester-konto for alle andre), bedriftens admin-kontoer, krypto-børser. Pris: 350–800 kr per nøkkel. Kjøp to (en hovedrolle + en backup).

Hvilke kontoer bør ha 2FA først?

Ikke alt på én gang. Begynn med disse fem, i denne rekkefølgen:

  1. E-postkontoen din (Google/Outlook) — mesteren over alle andre kontoer
  2. Banken / BankID / Vipps — direkte tilgang til pengene
  3. Facebook / Instagram — koblet til ID, kontakter, ofte gjenbrukte passord
  4. Skattaten / Helsenorge / NAV — sensitive personopplysninger
  5. Apple ID / Microsoft-konto — alle dine enheter, lagring, lisensiering

Steg-for-steg: Sett opp 2FA på 6 viktige tjenester

1. Google (Gmail, Drive, YouTube)

  1. Gå til myaccount.google.com/security
  2. Klikk på "2-Step Verification" → "Get started"
  3. Bekreft passord, oppgi mobilnummer, velg "Text message" eller "Phone call"
  4. Viktig: Etter aktivering — gå tilbake og bytt fra SMS til "Authenticator app". Skann QR-koden med Google Authenticator eller Authy.
  5. Lag backup-koder og lagre dem trygt (passordhåndterer eller utskrevet i en safe)

2. Facebook / Instagram

  1. Settings → "Accounts Center" → "Password and security" → "Two-factor authentication"
  2. Velg "Authentication app" (ikke SMS)
  3. Skann QR-koden med Authy eller Google Authenticator
  4. Lagre recovery-koder

3. BankID

BankID på mobil er allerede en form for 2FA — du har en BankID-app + PIN. Men sjekk:

  • At du har biometri (Face ID / fingeravtrykk) aktivert i BankID-appen
  • At du aldri oppgir BankID-koder over telefon eller skjermdeling
  • At du har slettet BankID på engangskoder hvis du fortsatt har et gammelt papp-kort liggende

4. Vipps

Vipps krever PIN ved hver betaling — det er allerede 2FA. Men:

  • Aktiver Face ID / fingeravtrykk for raskere bruk
  • Sett maks-grense per dag i appen (Profil → Sikkerhet)
  • Vurder å skru av "betal uten PIN under 100 kr"

5. Microsoft 365 / Outlook

  1. Gå til account.microsoft.com/security
  2. "Advanced security options" → "Two-step verification" → "Set up"
  3. Velg "Microsoft Authenticator app" (anbefalt) — den støtter også passordfri innlogging via push-varsel

6. E-postkontoen din (selv hvis ikke Google/Microsoft)

De fleste e-posttilbydere har 2FA i innstillinger → sikkerhet. Hvis din ikke har det — bytt tilbyder. E-postkontoen er den viktigste å beskytte fordi alle andre tjenester sender "tilbakestill passord"-lenker dit.

Tre vanlige feil — og hvordan unngå dem

❌ Feil 1: Aktiverer 2FA, men lagrer ikke backup-koder

Når du setter opp 2FA, får du en liste med ~10 engangs-recovery-koder. Disse er din nødutgang hvis mobilen går tapt. Skriv dem ut og legg dem i en safe, eller lagre dem i en passordhåndterer.

Mister du mobilen uten backup-koder, mister du potensielt tilgang til kontoen for alltid.

❌ Feil 2: Bruker SMS-2FA på sensitive kontoer

SIM-swap-svindel rammer norske kunder også. Hvis tjenesten støtter authenticator-app eller passkey — bytt fra SMS.

❌ Feil 3: Stoler på "Husk denne enheten"-knappen

Mange tjenester lar deg "huske" en enhet i 30 dager så du slipper 2FA hver gang. Greit for hjemmemaskinen din. Men aldri på en delt PC, hotellmaskin eller jobbdatamaskin du ikke er sikker på.

"Hva gjør jeg hvis jeg mister mobilen?"

Den mest stilte spørsmålet om 2FA. Svaret:

  1. Bruk dine backup-koder for å logge inn fra en annen enhet
  2. Deaktiver 2FA på den gamle enheten og aktiver på den nye
  3. Hvis du brukte Authy eller iCloud Keychain, vil 2FA-kodene automatisk synkroniseres til den nye mobilen
  4. Har du fysisk sikkerhetsnøkkel? Bruk reservenøkkelen din (du bør alltid ha to)
Bruk aldri "Glemt 2FA"-funksjonen som ber deg sende ID-bilde via en mistenkelig lenke. Ekte tjenester vil aldri sende slike lenker via SMS eller e-post.

Sammendrag: Sjekkliste for én helg

Sett av 2 timer på en lørdag. Du kan beskytte alle viktigste kontoer på den tiden:

  • ☐ Last ned Authy eller Google Authenticator
  • ☐ Aktiver 2FA på e-post (Google/Outlook)
  • ☐ Aktiver 2FA på Facebook/Instagram
  • ☐ Sjekk at BankID og Vipps har biometri
  • ☐ Aktiver 2FA på Apple ID / Microsoft
  • ☐ Last ned og lagre backup-koder for alle
  • ☐ Vurder fysisk sikkerhetsnøkkel (YubiKey) for e-postkonto

Når du er ferdig, har du gjort kontoene dine ~100x sikrere. Selv om passordet ditt lekker i morgen, kommer ingen seg inn uten mobilen din.

— Christer Mustvedt, grunnlegger av Mustvedt Sentinel

🔐 Sjekk om passordene dine allerede er lekket
PWNSCAN sjekker passordene dine mot 14+ milliarder lekkede passord — uten å sende selve passordet til oss. Bruk den før du aktiverer 2FA, så du vet hvilke kontoer som haster mest.
ÅPNE PWNSCAN →

Relaterte artikler

🔍
Guide
Forstå hva Sentinel sjekker i domenet ditt, uten IT-kompetanse
🌐
Guide
Domene-overvåkning i 2026: vit hva som skjer med navnet ditt
📥
Funksjon
Vi lanserer OSINT-recon: Se hva angriperne ser om bedriften din
Få varsler i innboksen

Vil du ha varsler om nye trusler?

Mustvedt Sentinel sender deg e-post hvis e-posten din dukker opp i en lekkasje, eller hvis domenet ditt er under angrep.

Start 7 dager gratis Logg inn