{"id":111,"date":"2026-06-18T09:00:00","date_gmt":"2026-06-18T09:00:00","guid":{"rendered":"https:\/\/shattered.io\/se\/2026\/06\/18\/yubikey-vs-google-authenticator\/"},"modified":"2026-06-18T09:00:00","modified_gmt":"2026-06-18T09:00:00","slug":"yubikey-vs-google-authenticator","status":"publish","type":"post","link":"https:\/\/shattered.io\/se\/yubikey-vs-google-authenticator\/","title":{"rendered":"YubiKey vs Google Authenticator: 0 n\u00e4tfiskeattacker med h\u00e5rdvara [2026]"},"content":{"rendered":"\n

Sverige registrerade 70 procent fler cyberattacker under f\u00f6rsta kvartalet 2025 j\u00e4mf\u00f6rt med f\u00f6reg\u00e5ende \u00e5r. Bakom de flesta intr\u00e5ngen finns ett gemensamt m\u00f6nster: stulna inloggningsuppgifter och kringg\u00e5ngna eng\u00e5ngskoder. Valet mellan en h\u00e5rdvarus\u00e4kerhetsnyckel som YubiKey<\/strong> och en autentiseringsapp som Google Authenticator<\/strong> avg\u00f6r hur stor den risken \u00e4r. Den h\u00e4r guiden j\u00e4mf\u00f6r b\u00e5da alternativen med faktiska s\u00e4kerhetsdata, prisinformation och fem verkliga scenarier, s\u00e5 att du kan fatta ett v\u00e4lgrundat beslut.<\/p>\n\n\n\n

Vad \u00e4r YubiKey och Google Authenticator?<\/h2>\n\n\n\n

De tillh\u00f6r samma kategori, multifaktorautentisering (MFA), men fungerar p\u00e5 fundamentalt olika s\u00e4tt.<\/p>\n\n\n\n

YubiKey<\/strong> \u00e4r ett fysiskt USB- och NFC-chip tillverkat av det svenska s\u00e4kerhetsf\u00f6retaget Yubico (grundat i Stockholm 2007). Du kopplar in nyckeln eller h\u00e5ller den mot telefonen, trycker p\u00e5 knappen och inloggningen \u00e4r klar. Nyckeln inneh\u00e5ller en privat kryptografisk nyckel som aldrig l\u00e4mnar h\u00e5rdvaran. Kommunikationen sker via protokollet FIDO2\/WebAuthn, vilket inneb\u00e4r att servern verifierar att f\u00f6rfr\u00e5gan verkligen kom fr\u00e5n r\u00e4tt webbplats, inte en bluff-kopia. Det kallas f\u00f6r ursprungsbindning (origin binding) och \u00e4r grunden till n\u00e4tfiskeresistensen.<\/p>\n\n\n\n

Google Authenticator<\/strong> (och konkurrenter som Microsoft Authenticator och Authy) genererar ist\u00e4llet ett tidsbegr\u00e4nsat sexsiffrigt nummer, ett TOTP-eng\u00e5ngsl\u00f6senord. Koden byts ut var trettionde sekund och du skriver in den manuellt p\u00e5 inloggningssidan. Problemet \u00e4r att en angripare kan lura dig att skriva in koden p\u00e5 en falsk sida och sedan omedelbart vidarebefordra den till den riktiga tj\u00e4nsten, ett klassiskt man-i-mitten-angrepp. TOTP stoppar inte n\u00e4tfiske, det f\u00f6rdr\u00f6jer det med sekunder.<\/p>\n\n\n\n

Det \u00e4r den tekniska k\u00e4rnan i hela j\u00e4mf\u00f6relsen. Resten handlar om pris, komfort, kompatibilitet och i vilka situationer varje alternativ faktiskt \u00e4r motiverat.<\/p>\n\n\n\n

Specifikationstabell: YubiKey mot Google Authenticator<\/h2>\n\n\n\n

Tabellen nedan sammanfattar de viktigaste tekniska och praktiska skillnaderna mellan en h\u00e5rdvarus\u00e4kerhetsnyckel och TOTP-autentiseringsappar.<\/p>\n\n\n\n

Egenskap<\/th>YubiKey 5 Series<\/th>Google Authenticator<\/th>Microsoft Authenticator<\/th><\/tr><\/thead>
Typ<\/td>H\u00e5rdvarunyckel (fysisk)<\/td>Mjukvaruapp (TOTP)<\/td>Mjukvaruapp (TOTP + push)<\/td><\/tr>
Pris<\/td>Fr\u00e5n $29 (Security Key) \/ $58 (YubiKey 5)<\/td>Gratis<\/td>Gratis<\/td><\/tr>
Protokoll<\/td>FIDO2, WebAuthn, TOTP, HOTP, PIV, OpenPGP, OTP<\/td>TOTP (RFC 6238)<\/td>TOTP + push-notis + FIDO2 (Azure AD)<\/td><\/tr>
N\u00e4tfiskeresistent<\/td>Ja (ursprungsbindning via FIDO2)<\/td>Nej (koden kan vidarebefordras i realtid)<\/td>Delvis (push-notis kan manipuleras)<\/td><\/tr>
FIDO2\/WebAuthn-st\u00f6d<\/td>Ja<\/td>Nej<\/td>Nej (ej mot externa tj\u00e4nster)<\/td><\/tr>
Kr\u00e4ver batteri<\/td>Nej<\/td>Ja (telefon)<\/td>Ja (telefon)<\/td><\/tr>
Fungerar offline<\/td>Ja<\/td>Ja (TOTP)<\/td>Delvis (push kr\u00e4ver internet)<\/td><\/tr>
Backup och \u00e5terst\u00e4llning<\/td>Reservnyckel rekommenderas<\/td>Molnsynk via Google-konto<\/td>Molnsynk via Microsoft-konto<\/td><\/tr>
Kompatibla tj\u00e4nster 2026<\/td>900+ (FIDO2-tj\u00e4nster)<\/td>Alla tj\u00e4nster med TOTP-st\u00f6d<\/td>Alla tj\u00e4nster med TOTP-st\u00f6d<\/td><\/tr>
Mobil NFC-st\u00f6d<\/td>Ja (utvalda modeller)<\/td>Ej relevant<\/td>Ej relevant<\/td><\/tr>
F\u00f6retagsst\u00f6d (MDM\/SSO)<\/td>Ja (PIV, Smart card, LDAP)<\/td>Begr\u00e4nsat<\/td>Ja (Azure AD\/Entra)<\/td><\/tr>
Autentiseringstid<\/td>Under 1 sekund<\/td>15 till 30 sekunder (kod skrivs in)<\/td>2 till 5 sekunder (push)<\/td><\/tr>
Kan tappas bort eller stj\u00e4las<\/td>Ja (fysisk risk, men kr\u00e4ver PIN)<\/td>Nej (bundet till telefon)<\/td>Nej (bundet till telefon)<\/td><\/tr>
Fungerar utan telefon<\/td>Ja<\/td>Nej<\/td>Nej<\/td><\/tr>
NIST 800-63B autentiseringsniv\u00e5<\/td>AAL3 (h\u00f6gsta)<\/td>AAL2<\/td>AAL2<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

S\u00e4kerhetsskillnaden: FIDO2 mot TOTP<\/h2>\n\n\n\n

Den viktigaste s\u00e4kerhetsskillnaden mellan en h\u00e5rdvarunyckel och en autentiseringsapp \u00e4r teknisk och handlar om hur autentiseringen \u00e4r bunden till tj\u00e4nsten.<\/p>\n\n\n\n

N\u00e4r du loggar in med YubiKey via FIDO2 skickar webbl\u00e4saren ett kryptografiskt utmaning som inneh\u00e5ller den exakta webbadressen. Nyckeln signerar svaret med den privata nyckel som skapades specifikt f\u00f6r den webbplatsen under registreringen. Om du hamnar p\u00e5 en n\u00e4tfiskesida som imiterar din banks inloggning, exempelvis “seb-bankid.se” ist\u00e4llet f\u00f6r “seb.se”, ser YubiKey en annan origin och v\u00e4grar genomf\u00f6ra autentiseringen. Koden fungerar aldrig p\u00e5 fel sida, oavsett hur \u00f6vertygande imitationen ser ut.<\/p>\n\n\n\n

TOTP fungerar annorlunda. Algoritmen k\u00e4nner inte till vilken webbplats som beg\u00e4r koden. Den ber\u00e4knar ett nummer baserat p\u00e5 en delad hemlighet och den aktuella tidsst\u00e4mpeln. Angriparen beh\u00f6ver bara lura dig att skriva in koden p\u00e5 sin falska sida och sedan vidarebefordra den till den \u00e4kta tj\u00e4nsten inom de trettiosekunderna. Attacken kan automatiseras och genomf\u00f6rs i realtid med verktyg som Evilginx och Modlishka, som \u00e4r \u00f6ppet tillg\u00e4ngliga online.<\/p>\n\n\n\n

Det \u00e4r inte en teoretisk s\u00e5rbarhet. Verizon Data Breach Investigations Report 2025 visar att n\u00e4tfiske stod f\u00f6r 16 procent av alla initiala intr\u00e5ngsvektorer och att stulna inloggningsuppgifter anv\u00e4ndes i 22 procent av attackerna. TOTP-koder \u00e4r tekniskt sett inloggningsuppgifter som kan stj\u00e4las i realtid.<\/p>\n\n\n\n

Microsoft Authenticator erbjuder en mellanl\u00f6sning med nummermatching och push-notiser, vilket h\u00f6jer ribban f\u00f6r en angripare. Men push-notiser kan manipuleras via MFA-fatigue-attacker, d\u00e4r angriparen skickar hundratals push-f\u00f6rfr\u00e5gningar tills anv\u00e4ndaren av misstag godk\u00e4nner en. Det kallas prompt bombing och \u00e4r dokumenterat i verkliga intr\u00e5ng, bland annat mot Uber h\u00f6sten 2022.<\/p>\n\n\n\n

L\u00e4s mer om hur n\u00e4tfiske fungerar och hur du k\u00e4nner igen ett bedr\u00e4gerif\u00f6rs\u00f6k<\/a> i v\u00e5r f\u00f6rdjupade guide.<\/p>\n\n\n\n

N\u00e4tfiskeresistens: siffrorna bakom FIDO2<\/h2>\n\n\n\n

Google genomf\u00f6rde en intern \u00f6verg\u00e5ng till h\u00e5rdvarus\u00e4kerhetsnycklar f\u00f6r alla 85 000 anst\u00e4llda. Resultatet, dokumenterat av FIDO Alliance, var noll lyckade n\u00e4tfiskeattacker mot de anst\u00e4llda efter att nycklar kr\u00e4vdes f\u00f6r inloggning. Inte en minskning med 95 procent, utan fullst\u00e4ndig eliminering av det attackm\u00f6nstret.<\/p>\n\n\n\n

Googles s\u00e4kerhetsteam publicerade separat data fr\u00e5n ett experiment med kontosskyddsmetoder. J\u00e4mf\u00f6relsen m\u00e4tte hur v\u00e4l tre kategorier av autentiseringsmetoder stoppade tre typer av attacker mot Google-konton:<\/p>\n\n\n\n

MFA-metod<\/th>Automatiserade botar<\/th>Massiva n\u00e4tfiskeattacker<\/th>Riktade attacker<\/th><\/tr><\/thead>
FIDO2 h\u00e5rdvarunycklar<\/td>100%<\/td>99%<\/td>90%<\/td><\/tr>
SMS-eng\u00e5ngskoder<\/td>100%<\/td>96%<\/td>76%<\/td><\/tr>
TOTP-autentiseringsappar<\/td>100%<\/td>96%<\/td>76%<\/td><\/tr>
Inget MFA<\/td>0%<\/td>0%<\/td>0%<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Skillnaden mot automatiserade botar och massiva n\u00e4tfiskeattacker \u00e4r marginell. Mot riktade attacker, det vill s\u00e4ga angrepp riktade mot specifika individer med tillg\u00e5ng till k\u00e4nsliga system, \u00e4r skillnaden 14 procentenheter. I en organisation med hundra riskpersoner inneb\u00e4r det att fjorton individer \u00e4r oskyddade med SMS- eller TOTP-baserad MFA, men inga med FIDO2-h\u00e5rdvara.<\/p>\n\n\n\n

NIST SP 800-63B, den amerikanska standarden f\u00f6r autentiseringss\u00e4kerhet, delar in autentisering i tre niv\u00e5er. FIDO2-h\u00e5rdvarunycklar klassas som AAL3, den h\u00f6gsta. TOTP-appar klassas som AAL2. Skillnaden \u00e4r avg\u00f6rande i sammanhang d\u00e4r efterlevnad av s\u00e4kerhetsstandarder kr\u00e4vs, exempelvis under NIS2-regelverket.<\/p>\n\n\n\n

CISA (USA:s cybers\u00e4kerhetsmyndighet) rekommenderar n\u00e4tfiskeresistent MFA som “guldstandarden” och uppmanar organisationer att migrera bort fr\u00e5n SMS- och TOTP-baserad autentisering f\u00f6r privilegierade konton. Det r\u00e5det g\u00e4ller i synnerhet f\u00f6r administrat\u00f6rer, chefer och personal med tillg\u00e5ng till kritiska system.<\/p>\n\n\n\n

Priser 2026: fr\u00e5n gratis till 700 kr och upp\u00e5t<\/h2>\n\n\n\n

Prisskillnaden \u00e4r den vanligaste inv\u00e4ndningen mot YubiKey. Yubico justerade sina europeiska priser fr\u00e5n 1 januari 2026. Tabellen nedan anger rekommenderade priser i USD fr\u00e5n Yubicos officiella butik, omr\u00e4knat till ungef\u00e4rliga EUR-belopp f\u00f6r europeiska kunder.<\/p>\n\n\n\n

Produkt<\/th>Pris (USD)<\/th>Gr\u00e4nssnitt<\/th>Protokoll<\/th>Passar<\/th><\/tr><\/thead>
Google Authenticator<\/td>Gratis<\/td>iOS, Android<\/td>TOTP, HOTP<\/td>Alla<\/td><\/tr>
Microsoft Authenticator<\/td>Gratis<\/td>iOS, Android<\/td>TOTP, push, FIDO2 (Azure AD)<\/td>Microsoft-milj\u00f6er<\/td><\/tr>
YubiKey Security Key NFC<\/td>Fr\u00e5n $29<\/td>USB-A + NFC<\/td>FIDO2, WebAuthn, U2F<\/td>Privatpersoner, FIDO2-tj\u00e4nster<\/td><\/tr>
YubiKey Security Key C NFC<\/td>Fr\u00e5n $29<\/td>USB-C + NFC<\/td>FIDO2, WebAuthn, U2F<\/td>Moderna b\u00e4rbara datorer<\/td><\/tr>
YubiKey 5 NFC<\/td>Fr\u00e5n $58<\/td>USB-A + NFC<\/td>FIDO2, TOTP, PIV, OpenPGP, OTP<\/td>F\u00f6retag, avancerade anv\u00e4ndare<\/td><\/tr>
YubiKey 5C NFC<\/td>Fr\u00e5n $65<\/td>USB-C + NFC<\/td>FIDO2, TOTP, PIV, OpenPGP, OTP<\/td>MacBook, moderna Windows-datorer<\/td><\/tr>
YubiKey 5Ci<\/td>Fr\u00e5n $85<\/td>USB-C + Lightning<\/td>FIDO2, TOTP, PIV, OpenPGP, OTP<\/td>iPhone-anv\u00e4ndare utan NFC-app<\/td><\/tr>
YubiKey 5 FIPS Series<\/td>Fr\u00e5n $88<\/td>USB-A\/C + NFC<\/td>FIDO2, PIV, TOTP (FIPS 140-2)<\/td>Myndigheter med FIPS-krav<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Yubicos rekommendation \u00e4r alltid att k\u00f6pa minst tv\u00e5 nycklar, en prim\u00e4r och en reserv. Det inneb\u00e4r en startkostnad p\u00e5 $58 f\u00f6r Security Key NFC (tv\u00e5 stycken) eller $116 f\u00f6r YubiKey 5 NFC (tv\u00e5 stycken). J\u00e4mf\u00f6rt med Google Authenticator eller Microsoft Authenticator \u00e4r det en verklig kostnad. Men j\u00e4mf\u00f6rt med kostnaden f\u00f6r ett lyckat kontointr\u00e5ng, eller ett datal\u00e4ckage som utl\u00f6ser GDPR-b\u00f6ter, \u00e4r det en marginell investering. GDPR-b\u00f6ter kan uppg\u00e5 till 4 procent av global oms\u00e4ttning.<\/p>\n\n\n\n

Yubico erbjuder volymrabatter f\u00f6r organisationer fr\u00e5n 10 nycklar och upp\u00e5t, med ytterligare rabatter fr\u00e5n 100 nycklar. Kontakta Yubico direkt eller via auktoriserade \u00e5terf\u00f6rs\u00e4ljare i Sverige f\u00f6r aktuella licenspriser och f\u00f6retagsavtal.<\/p>\n\n\n\n

YubiKey-modeller 2026: vilket alternativ passar dig?<\/h2>\n\n\n\n

Yubico s\u00e4ljer fyra huvudsakliga produktserier med tydligt skilda m\u00e5lgrupper och protokollst\u00f6d.<\/p>\n\n\n\n

Security Key Series: enkel FIDO2 f\u00f6r privatpersoner<\/h3>\n\n\n\n

Security Key-serien kostar fr\u00e5n $29 och \u00e4r avsedd f\u00f6r konsumenter och organisationer som enbart beh\u00f6ver FIDO2\/WebAuthn-autentisering. Den st\u00f6djer inte TOTP, OpenPGP eller PIV, vilket g\u00f6r den ol\u00e4mplig f\u00f6r komplexa f\u00f6retagsmilj\u00f6er med \u00e4ldre system. Men f\u00f6r privatpersoner som vill skydda Gmail, GitHub och Dropbox mot n\u00e4tfiske \u00e4r den billigaste modellen fullt tillr\u00e4cklig. Security Key-serien finns med USB-A+NFC och USB-C+NFC.<\/p>\n\n\n\n

YubiKey 5 Series: multiprotokoll f\u00f6r f\u00f6retag<\/h3>\n\n\n\n

YubiKey 5-serien b\u00f6rjar p\u00e5 $58 och st\u00f6djer FIDO2, TOTP, HOTP, PIV (Smart card), OpenPGP och Yubicos egna OTP-protokoll. Det g\u00f6r den kompatibel med praktiskt taget alla autentiseringssystem, inklusive Windows Hello, macOS-certifikatinloggning, SSH via PIV och legacysystem som kr\u00e4ver TOTP. Yubico kallar det “det prim\u00e4ra valet f\u00f6r f\u00f6retag” och modellen finns i USB-A, USB-C, Lightning och kombinationsformat med NFC. Den 5Ci-variant med Lightning-st\u00f6d passar specifikt f\u00f6r iPhone-anv\u00e4ndare med \u00e4ldre modeller.<\/p>\n\n\n\n

FIPS 140-2 Series: krav f\u00f6r myndigheter och f\u00f6rsvar<\/h3>\n\n\n\n

FIPS-serien b\u00f6rjar p\u00e5 $88 och \u00e4r certifierad f\u00f6r den amerikanska statliga s\u00e4kerhetsstandarden FIPS 140-2. Den \u00e4r n\u00f6dv\u00e4ndig f\u00f6r organisationer som samarbetar med USA:s federala myndigheter eller hanterar data under amerikansk s\u00e4kerhetslagstiftning. F\u00f6r de flesta svenska f\u00f6retag och privatpersoner saknar FIPS-certifieringen direkt praktisk relevans. Undantag finns: svenska underleverant\u00f6rer till f\u00f6rsvaret, NATO-kopplade organisationer eller bolag med kontrakt med USA:s federala sektor kan ha kontraktuella krav p\u00e5 FIPS-certifiering.<\/p>\n\n\n\n

Google Authenticator mot Microsoft Authenticator: vilken app \u00e4r b\u00e4ttre?<\/h2>\n\n\n\n

Om du v\u00e4ljer TOTP-v\u00e4gen uppst\u00e5r n\u00e4sta fr\u00e5ga: Google Authenticator eller Microsoft Authenticator?<\/p>\n\n\n\n

Google Authenticator<\/strong> \u00e4r enkel och l\u00e4tt att komma ig\u00e5ng med. Sedan uppdateringen 2023 synkroniserar appen TOTP-hemligheter via ditt Google-konto. Nackdelen \u00e4r att den inte erbjuder push-notiser, nummermatching eller FIDO2 mot externa tj\u00e4nster. Du skriver alltid in en sexsiffrig kod manuellt, ett manuellt steg som angripare kan utnyttja i realtid under en p\u00e5g\u00e5ende attack.<\/p>\n\n\n\n

Microsoft Authenticator<\/strong> \u00e4r mer kapabel i Microsoft-milj\u00f6er. I Azure AD och Microsoft Entra erbjuder appen push-notiser med nummermatching, vilket kr\u00e4ver att anv\u00e4ndaren aktivt anger r\u00e4tt siffror f\u00f6r att bekr\u00e4fta inloggningen. Det h\u00f6jer ribban mot automatiserade MFA-fatigue-attacker. F\u00f6r organisationer utanf\u00f6r Microsoft 365-ekosystemet \u00e4r funktionaliteten mer begr\u00e4nsad och appen fungerar som en vanlig TOTP-generator mot externa tj\u00e4nster.<\/p>\n\n\n\n

Varken Google Authenticator eller Microsoft Authenticator \u00e4r n\u00e4tfiskeresistenta mot externa TOTP-tj\u00e4nster. B\u00e4gge \u00e4r kostnadseffektiva startpunkter f\u00f6r MFA-adoption, men b\u00f6r inte betraktas som fullgoda alternativ till FIDO2-h\u00e5rdvara i milj\u00f6er med f\u00f6rh\u00f6jd risk eller NIS2-reglerade verksamheter.<\/p>\n\n\n\n

Prestanda och anv\u00e4ndbarhet i praktiken<\/h2>\n\n\n\n

YubiKey \u00e4r snabbare att anv\u00e4nda i praktiken \u00e4n TOTP-appar, trots att det kr\u00e4vs en fysisk nyckel. Inloggningsprocessen med YubiKey via FIDO2 ser ut s\u00e5 h\u00e4r: anslut nyckeln, \u00f6ppna inloggningssidan, ange anv\u00e4ndarnamn, tryck p\u00e5 knappkontakten, klar. Hela processen tar under fem sekunder i en v\u00e4lkonfigurerad milj\u00f6.<\/p>\n\n\n\n

Med Google Authenticator kr\u00e4ver processen att du l\u00e5ser upp din telefon, \u00f6ppnar appen, hittar r\u00e4tt konto i listan (ofta bland tio eller fler), l\u00e4ser av den sexsiffriga koden, skriver in den manuellt p\u00e5 inloggningssidan och skickar innan koden byts ut. I genomsnitt tar det 15 till 30 sekunder. Om telefonen \u00e4r i fickan eller laddas i ett annat rum tar det \u00e4nnu l\u00e4ngre.<\/p>\n\n\n\n

YubiKey via NFC \u00e4r ett mellanting f\u00f6r mobilanv\u00e4ndning: h\u00e5ll nyckeln mot telefonen n\u00e4r appen ber om det. Det \u00e4r snabbare \u00e4n TOTP men kr\u00e4ver att du har nyckeln tillg\u00e4nglig och att tj\u00e4nsten st\u00f6djer WebAuthn via mobil webbl\u00e4sare, ett krav som inte alltid \u00e4r uppfyllt.<\/p>\n\n\n\n

Kompatibilitetssituationen 2026 \u00e4r god men inte perfekt. Tj\u00e4nster med FIDO2\/WebAuthn-st\u00f6d inkluderar Google, Microsoft 365, GitHub, Dropbox, Twitter\/X, Facebook, Cloudflare, 1Password, Bitwarden och hundratals andra. \u00c4ldre system, VPN-l\u00f6sningar, intern IT-infrastruktur och nischade webbtj\u00e4nster st\u00f6djer ofta enbart TOTP. Beh\u00f6ver du b\u00e5da: YubiKey 5-serien st\u00f6djer TOTP via Yubico Authenticator-appen, vilket inneb\u00e4r att TOTP-koderna lagras p\u00e5 h\u00e5rdvaran ist\u00e4llet f\u00f6r i appen, en s\u00e4kerhetsf\u00f6rb\u00e4ttring \u00e4ven f\u00f6r TOTP-fl\u00f6det.<\/p>\n\n\n\n

Fem verkliga fall: n\u00e4r h\u00e5rdvara g\u00f6r skillnad<\/h2>\n\n\n\n

Abstrakta s\u00e4kerhetsskillnader beh\u00f6ver konkret kontext. H\u00e4r \u00e4r fem dokumenterade fall d\u00e4r autentiseringsmetoden var avg\u00f6rande.<\/p>\n\n\n\n

Fall 1: Google (85 000 anst\u00e4llda, 2017).<\/strong> Googles krav p\u00e5 h\u00e5rdvarus\u00e4kerhetsnycklar f\u00f6r alla anst\u00e4llda resulterade i noll lyckade n\u00e4tfiskeattacker mot anst\u00e4lldas konton, dokumenterat av FIDO Alliance. Organisationen hade dessf\u00f6rinnan drabbats av riktade n\u00e4tfiskeattacker mot anst\u00e4llda med tillg\u00e5ng till k\u00e4nsliga system. Bytet till h\u00e5rdvara eliminerade den attackvektorn.<\/p>\n\n\n\n

Fall 2: Twitter och X (2022 till 2023, SMS-s\u00e5rbarhet exponeras).<\/strong> Under februari 2023 st\u00e4ngde Twitter\/X av SMS-baserad tv\u00e5faktorsautentisering f\u00f6r icke-betalande anv\u00e4ndare efter att SIM-swapping-attacker komprometterat konton vid upprepade tillf\u00e4llen. Plattformen uppmanade ber\u00f6rda anv\u00e4ndare att g\u00e5 \u00f6ver till autentiseringsappar eller h\u00e5rdvarunycklar. Beslutet var kontroversiellt men understr\u00f6k att SMS-koder \u00e4r en svag l\u00e4nk.<\/p>\n\n\n\n

Fall 3: Uber (h\u00f6sten 2022, MFA-fatigue-attack).<\/strong> Uber drabbades av ett intr\u00e5ng genomf\u00f6rt av en 18-\u00e5ring via en MFA-fatigue-attack. Angriparen skickade om och om igen push-notiser via Ubers Microsoft Authenticator-konfiguration tills en anst\u00e4lld av misstag godk\u00e4nde en f\u00f6rfr\u00e5gan. Hade Uber k\u00f6rt FIDO2-h\u00e5rdvara hade attacken inte fungerat, eftersom h\u00e5rdvaran kr\u00e4ver fysisk interaktion och inte hanterar push-notiser.<\/p>\n\n\n\n

Fall 4: Cloudflare (sommaren 2022, Oktapus-kampanjen).<\/strong> Under Oktapus-kampanjen fick Cloudflares anst\u00e4llda n\u00e4tfiskemeddelanden med \u00f6vertygande imitationer av Cloudflares egna inloggningssidor. Tre anst\u00e4llda l\u00e4mnade faktiskt ut sina anv\u00e4ndarnamn och l\u00f6senord. Men Cloudflares FIDO2-krav f\u00f6rhindrade att angriparna kom vidare. Hundratals andra organisationer i samma kampanj komprometterades, bland annat f\u00f6r att de k\u00f6rde TOTP ist\u00e4llet f\u00f6r FIDO2.<\/p>\n