Sverige registrerade 70 procent fler cyberattacker under första kvartalet 2025 jämfört med föregående år. Bakom de flesta intrången finns ett gemensamt mönster: stulna inloggningsuppgifter och kringgångna engångskoder. Valet mellan en hårdvarusäkerhetsnyckel som YubiKey och en autentiseringsapp som Google Authenticator avgör hur stor den risken är. Den här guiden jämför båda alternativen med faktiska säkerhetsdata, prisinformation och fem verkliga scenarier, så att du kan fatta ett välgrundat beslut.
Vad är YubiKey och Google Authenticator?
De tillhör samma kategori, multifaktorautentisering (MFA), men fungerar på fundamentalt olika sätt.
YubiKey är ett fysiskt USB- och NFC-chip tillverkat av det svenska säkerhetsföretaget Yubico (grundat i Stockholm 2007). Du kopplar in nyckeln eller håller den mot telefonen, trycker på knappen och inloggningen är klar. Nyckeln innehåller en privat kryptografisk nyckel som aldrig lämnar hårdvaran. Kommunikationen sker via protokollet FIDO2/WebAuthn, vilket innebär att servern verifierar att förfrågan verkligen kom från rätt webbplats, inte en bluff-kopia. Det kallas för ursprungsbindning (origin binding) och är grunden till nätfiskeresistensen.
Google Authenticator (och konkurrenter som Microsoft Authenticator och Authy) genererar istället ett tidsbegränsat sexsiffrigt nummer, ett TOTP-engångslösenord. Koden byts ut var trettionde sekund och du skriver in den manuellt på inloggningssidan. Problemet är att en angripare kan lura dig att skriva in koden på en falsk sida och sedan omedelbart vidarebefordra den till den riktiga tjänsten, ett klassiskt man-i-mitten-angrepp. TOTP stoppar inte nätfiske, det fördröjer det med sekunder.
Det är den tekniska kärnan i hela jämförelsen. Resten handlar om pris, komfort, kompatibilitet och i vilka situationer varje alternativ faktiskt är motiverat.
Specifikationstabell: YubiKey mot Google Authenticator
Tabellen nedan sammanfattar de viktigaste tekniska och praktiska skillnaderna mellan en hårdvarusäkerhetsnyckel och TOTP-autentiseringsappar.
| Egenskap | YubiKey 5 Series | Google Authenticator | Microsoft Authenticator |
|---|---|---|---|
| Typ | Hårdvarunyckel (fysisk) | Mjukvaruapp (TOTP) | Mjukvaruapp (TOTP + push) |
| Pris | Från $29 (Security Key) / $58 (YubiKey 5) | Gratis | Gratis |
| Protokoll | FIDO2, WebAuthn, TOTP, HOTP, PIV, OpenPGP, OTP | TOTP (RFC 6238) | TOTP + push-notis + FIDO2 (Azure AD) |
| Nätfiskeresistent | Ja (ursprungsbindning via FIDO2) | Nej (koden kan vidarebefordras i realtid) | Delvis (push-notis kan manipuleras) |
| FIDO2/WebAuthn-stöd | Ja | Nej | Nej (ej mot externa tjänster) |
| Kräver batteri | Nej | Ja (telefon) | Ja (telefon) |
| Fungerar offline | Ja | Ja (TOTP) | Delvis (push kräver internet) |
| Backup och återställning | Reservnyckel rekommenderas | Molnsynk via Google-konto | Molnsynk via Microsoft-konto |
| Kompatibla tjänster 2026 | 900+ (FIDO2-tjänster) | Alla tjänster med TOTP-stöd | Alla tjänster med TOTP-stöd |
| Mobil NFC-stöd | Ja (utvalda modeller) | Ej relevant | Ej relevant |
| Företagsstöd (MDM/SSO) | Ja (PIV, Smart card, LDAP) | Begränsat | Ja (Azure AD/Entra) |
| Autentiseringstid | Under 1 sekund | 15 till 30 sekunder (kod skrivs in) | 2 till 5 sekunder (push) |
| Kan tappas bort eller stjälas | Ja (fysisk risk, men kräver PIN) | Nej (bundet till telefon) | Nej (bundet till telefon) |
| Fungerar utan telefon | Ja | Nej | Nej |
| NIST 800-63B autentiseringsnivå | AAL3 (högsta) | AAL2 | AAL2 |
Säkerhetsskillnaden: FIDO2 mot TOTP
Den viktigaste säkerhetsskillnaden mellan en hårdvarunyckel och en autentiseringsapp är teknisk och handlar om hur autentiseringen är bunden till tjänsten.
När du loggar in med YubiKey via FIDO2 skickar webbläsaren ett kryptografiskt utmaning som innehåller den exakta webbadressen. Nyckeln signerar svaret med den privata nyckel som skapades specifikt för den webbplatsen under registreringen. Om du hamnar på en nätfiskesida som imiterar din banks inloggning, exempelvis “seb-bankid.se” istället för “seb.se”, ser YubiKey en annan origin och vägrar genomföra autentiseringen. Koden fungerar aldrig på fel sida, oavsett hur övertygande imitationen ser ut.
TOTP fungerar annorlunda. Algoritmen känner inte till vilken webbplats som begär koden. Den beräknar ett nummer baserat på en delad hemlighet och den aktuella tidsstämpeln. Angriparen behöver bara lura dig att skriva in koden på sin falska sida och sedan vidarebefordra den till den äkta tjänsten inom de trettiosekunderna. Attacken kan automatiseras och genomförs i realtid med verktyg som Evilginx och Modlishka, som är öppet tillgängliga online.
Det är inte en teoretisk sårbarhet. Verizon Data Breach Investigations Report 2025 visar att nätfiske stod för 16 procent av alla initiala intrångsvektorer och att stulna inloggningsuppgifter användes i 22 procent av attackerna. TOTP-koder är tekniskt sett inloggningsuppgifter som kan stjälas i realtid.
Microsoft Authenticator erbjuder en mellanlösning med nummermatching och push-notiser, vilket höjer ribban för en angripare. Men push-notiser kan manipuleras via MFA-fatigue-attacker, där angriparen skickar hundratals push-förfrågningar tills användaren av misstag godkänner en. Det kallas prompt bombing och är dokumenterat i verkliga intrång, bland annat mot Uber hösten 2022.
Läs mer om hur nätfiske fungerar och hur du känner igen ett bedrägeriförsök i vår fördjupade guide.
Nätfiskeresistens: siffrorna bakom FIDO2
Google genomförde en intern övergång till hårdvarusäkerhetsnycklar för alla 85 000 anställda. Resultatet, dokumenterat av FIDO Alliance, var noll lyckade nätfiskeattacker mot de anställda efter att nycklar krävdes för inloggning. Inte en minskning med 95 procent, utan fullständig eliminering av det attackmönstret.
Googles säkerhetsteam publicerade separat data från ett experiment med kontosskyddsmetoder. Jämförelsen mätte hur väl tre kategorier av autentiseringsmetoder stoppade tre typer av attacker mot Google-konton:
| MFA-metod | Automatiserade botar | Massiva nätfiskeattacker | Riktade attacker |
|---|---|---|---|
| FIDO2 hårdvarunycklar | 100% | 99% | 90% |
| SMS-engångskoder | 100% | 96% | 76% |
| TOTP-autentiseringsappar | 100% | 96% | 76% |
| Inget MFA | 0% | 0% | 0% |
Skillnaden mot automatiserade botar och massiva nätfiskeattacker är marginell. Mot riktade attacker, det vill säga angrepp riktade mot specifika individer med tillgång till känsliga system, är skillnaden 14 procentenheter. I en organisation med hundra riskpersoner innebär det att fjorton individer är oskyddade med SMS- eller TOTP-baserad MFA, men inga med FIDO2-hårdvara.
NIST SP 800-63B, den amerikanska standarden för autentiseringssäkerhet, delar in autentisering i tre nivåer. FIDO2-hårdvarunycklar klassas som AAL3, den högsta. TOTP-appar klassas som AAL2. Skillnaden är avgörande i sammanhang där efterlevnad av säkerhetsstandarder krävs, exempelvis under NIS2-regelverket.
CISA (USA:s cybersäkerhetsmyndighet) rekommenderar nätfiskeresistent MFA som “guldstandarden” och uppmanar organisationer att migrera bort från SMS- och TOTP-baserad autentisering för privilegierade konton. Det rådet gäller i synnerhet för administratörer, chefer och personal med tillgång till kritiska system.
Priser 2026: från gratis till 700 kr och uppåt
Prisskillnaden är den vanligaste invändningen mot YubiKey. Yubico justerade sina europeiska priser från 1 januari 2026. Tabellen nedan anger rekommenderade priser i USD från Yubicos officiella butik, omräknat till ungefärliga EUR-belopp för europeiska kunder.
| Produkt | Pris (USD) | Gränssnitt | Protokoll | Passar |
|---|---|---|---|---|
| Google Authenticator | Gratis | iOS, Android | TOTP, HOTP | Alla |
| Microsoft Authenticator | Gratis | iOS, Android | TOTP, push, FIDO2 (Azure AD) | Microsoft-miljöer |
| YubiKey Security Key NFC | Från $29 | USB-A + NFC | FIDO2, WebAuthn, U2F | Privatpersoner, FIDO2-tjänster |
| YubiKey Security Key C NFC | Från $29 | USB-C + NFC | FIDO2, WebAuthn, U2F | Moderna bärbara datorer |
| YubiKey 5 NFC | Från $58 | USB-A + NFC | FIDO2, TOTP, PIV, OpenPGP, OTP | Företag, avancerade användare |
| YubiKey 5C NFC | Från $65 | USB-C + NFC | FIDO2, TOTP, PIV, OpenPGP, OTP | MacBook, moderna Windows-datorer |
| YubiKey 5Ci | Från $85 | USB-C + Lightning | FIDO2, TOTP, PIV, OpenPGP, OTP | iPhone-användare utan NFC-app |
| YubiKey 5 FIPS Series | Från $88 | USB-A/C + NFC | FIDO2, PIV, TOTP (FIPS 140-2) | Myndigheter med FIPS-krav |
Yubicos rekommendation är alltid att köpa minst två nycklar, en primär och en reserv. Det innebär en startkostnad på $58 för Security Key NFC (två stycken) eller $116 för YubiKey 5 NFC (två stycken). Jämfört med Google Authenticator eller Microsoft Authenticator är det en verklig kostnad. Men jämfört med kostnaden för ett lyckat kontointrång, eller ett dataläckage som utlöser GDPR-böter, är det en marginell investering. GDPR-böter kan uppgå till 4 procent av global omsättning.
Yubico erbjuder volymrabatter för organisationer från 10 nycklar och uppåt, med ytterligare rabatter från 100 nycklar. Kontakta Yubico direkt eller via auktoriserade återförsäljare i Sverige för aktuella licenspriser och företagsavtal.
YubiKey-modeller 2026: vilket alternativ passar dig?
Yubico säljer fyra huvudsakliga produktserier med tydligt skilda målgrupper och protokollstöd.
Security Key Series: enkel FIDO2 för privatpersoner
Security Key-serien kostar från $29 och är avsedd för konsumenter och organisationer som enbart behöver FIDO2/WebAuthn-autentisering. Den stödjer inte TOTP, OpenPGP eller PIV, vilket gör den olämplig för komplexa företagsmiljöer med äldre system. Men för privatpersoner som vill skydda Gmail, GitHub och Dropbox mot nätfiske är den billigaste modellen fullt tillräcklig. Security Key-serien finns med USB-A+NFC och USB-C+NFC.
YubiKey 5 Series: multiprotokoll för företag
YubiKey 5-serien börjar på $58 och stödjer FIDO2, TOTP, HOTP, PIV (Smart card), OpenPGP och Yubicos egna OTP-protokoll. Det gör den kompatibel med praktiskt taget alla autentiseringssystem, inklusive Windows Hello, macOS-certifikatinloggning, SSH via PIV och legacysystem som kräver TOTP. Yubico kallar det “det primära valet för företag” och modellen finns i USB-A, USB-C, Lightning och kombinationsformat med NFC. Den 5Ci-variant med Lightning-stöd passar specifikt för iPhone-användare med äldre modeller.
FIPS 140-2 Series: krav för myndigheter och försvar
FIPS-serien börjar på $88 och är certifierad för den amerikanska statliga säkerhetsstandarden FIPS 140-2. Den är nödvändig för organisationer som samarbetar med USA:s federala myndigheter eller hanterar data under amerikansk säkerhetslagstiftning. För de flesta svenska företag och privatpersoner saknar FIPS-certifieringen direkt praktisk relevans. Undantag finns: svenska underleverantörer till försvaret, NATO-kopplade organisationer eller bolag med kontrakt med USA:s federala sektor kan ha kontraktuella krav på FIPS-certifiering.
Google Authenticator mot Microsoft Authenticator: vilken app är bättre?
Om du väljer TOTP-vägen uppstår nästa fråga: Google Authenticator eller Microsoft Authenticator?
Google Authenticator är enkel och lätt att komma igång med. Sedan uppdateringen 2023 synkroniserar appen TOTP-hemligheter via ditt Google-konto. Nackdelen är att den inte erbjuder push-notiser, nummermatching eller FIDO2 mot externa tjänster. Du skriver alltid in en sexsiffrig kod manuellt, ett manuellt steg som angripare kan utnyttja i realtid under en pågående attack.
Microsoft Authenticator är mer kapabel i Microsoft-miljöer. I Azure AD och Microsoft Entra erbjuder appen push-notiser med nummermatching, vilket kräver att användaren aktivt anger rätt siffror för att bekräfta inloggningen. Det höjer ribban mot automatiserade MFA-fatigue-attacker. För organisationer utanför Microsoft 365-ekosystemet är funktionaliteten mer begränsad och appen fungerar som en vanlig TOTP-generator mot externa tjänster.
Varken Google Authenticator eller Microsoft Authenticator är nätfiskeresistenta mot externa TOTP-tjänster. Bägge är kostnadseffektiva startpunkter för MFA-adoption, men bör inte betraktas som fullgoda alternativ till FIDO2-hårdvara i miljöer med förhöjd risk eller NIS2-reglerade verksamheter.
Prestanda och användbarhet i praktiken
YubiKey är snabbare att använda i praktiken än TOTP-appar, trots att det krävs en fysisk nyckel. Inloggningsprocessen med YubiKey via FIDO2 ser ut så här: anslut nyckeln, öppna inloggningssidan, ange användarnamn, tryck på knappkontakten, klar. Hela processen tar under fem sekunder i en välkonfigurerad miljö.
Med Google Authenticator kräver processen att du låser upp din telefon, öppnar appen, hittar rätt konto i listan (ofta bland tio eller fler), läser av den sexsiffriga koden, skriver in den manuellt på inloggningssidan och skickar innan koden byts ut. I genomsnitt tar det 15 till 30 sekunder. Om telefonen är i fickan eller laddas i ett annat rum tar det ännu längre.
YubiKey via NFC är ett mellanting för mobilanvändning: håll nyckeln mot telefonen när appen ber om det. Det är snabbare än TOTP men kräver att du har nyckeln tillgänglig och att tjänsten stödjer WebAuthn via mobil webbläsare, ett krav som inte alltid är uppfyllt.
Kompatibilitetssituationen 2026 är god men inte perfekt. Tjänster med FIDO2/WebAuthn-stöd inkluderar Google, Microsoft 365, GitHub, Dropbox, Twitter/X, Facebook, Cloudflare, 1Password, Bitwarden och hundratals andra. Äldre system, VPN-lösningar, intern IT-infrastruktur och nischade webbtjänster stödjer ofta enbart TOTP. Behöver du båda: YubiKey 5-serien stödjer TOTP via Yubico Authenticator-appen, vilket innebär att TOTP-koderna lagras på hårdvaran istället för i appen, en säkerhetsförbättring även för TOTP-flödet.
Fem verkliga fall: när hårdvara gör skillnad
Abstrakta säkerhetsskillnader behöver konkret kontext. Här är fem dokumenterade fall där autentiseringsmetoden var avgörande.
Fall 1: Google (85 000 anställda, 2017). Googles krav på hårdvarusäkerhetsnycklar för alla anställda resulterade i noll lyckade nätfiskeattacker mot anställdas konton, dokumenterat av FIDO Alliance. Organisationen hade dessförinnan drabbats av riktade nätfiskeattacker mot anställda med tillgång till känsliga system. Bytet till hårdvara eliminerade den attackvektorn.
Fall 2: Twitter och X (2022 till 2023, SMS-sårbarhet exponeras). Under februari 2023 stängde Twitter/X av SMS-baserad tvåfaktorsautentisering för icke-betalande användare efter att SIM-swapping-attacker komprometterat konton vid upprepade tillfällen. Plattformen uppmanade berörda användare att gå över till autentiseringsappar eller hårdvarunycklar. Beslutet var kontroversiellt men underströk att SMS-koder är en svag länk.
Fall 3: Uber (hösten 2022, MFA-fatigue-attack). Uber drabbades av ett intrång genomfört av en 18-åring via en MFA-fatigue-attack. Angriparen skickade om och om igen push-notiser via Ubers Microsoft Authenticator-konfiguration tills en anställd av misstag godkände en förfrågan. Hade Uber kört FIDO2-hårdvara hade attacken inte fungerat, eftersom hårdvaran kräver fysisk interaktion och inte hanterar push-notiser.
Fall 4: Cloudflare (sommaren 2022, Oktapus-kampanjen). Under Oktapus-kampanjen fick Cloudflares anställda nätfiskemeddelanden med övertygande imitationer av Cloudflares egna inloggningssidor. Tre anställda lämnade faktiskt ut sina användarnamn och lösenord. Men Cloudflares FIDO2-krav förhindrade att angriparna kom vidare. Hundratals andra organisationer i samma kampanj komprometterades, bland annat för att de körde TOTP istället för FIDO2.
