Den amerikanska standardmyndigheten NIST klassar nu SMS som otillräckligt skydd, samtidigt som Google, Apple och Microsoft trycker hårt på passnycklar.
För vanliga konsumenter blir valet förvirrande. Banken kräver mobilt BankID, mejlen frågar efter en kod via SMS, och Google vill plötsligt skapa en passnyckel på telefonen. Tre olika metoder, tre olika säkerhetsnivåer, och inget tydligt besked om vad man faktiskt ska välja.
Den amerikanska federala standardmyndigheten National Institute of Standards and Technology, NIST, har i den senaste versionen av riktlinjerna för digital identitet (SP 800-63B-4) flyttat SMS-baserad tvåstegsverifiering till kategorin ”restricted authenticators”, det vill säga en metod med betydande svagheter som myndigheter och företag bara får använda med särskilda försiktighetsåtgärder.
NIST skriver att den som verifierar inloggningar bör beakta riskindikatorer som SIM-byte, byte av enhet och nummerportering innan en engångskod skickas via mobilnätet. Det innebär i praktiken att en SMS-kod inte längre räknas som ett fullgott skydd för de högsta säkerhetsnivåerna, även om den fortsatt är bättre än bara ett lösenord.
Så skiljer sig de tre metoderna
SMS-koden är den enklaste att aktivera. Man får en sexsiffrig kod i ett textmeddelande och knappar in den. Problemet är att koden skickas över ett gammalt telefonnät som aldrig konstruerades för säkerhet. En angripare som lurar mobiloperatören att flytta numret till ett nytt SIM-kort, så kallad SIM-swapping, kan ta emot koderna i ditt namn.
App-koden, formellt TOTP (time-based one-time password), genereras lokalt i en autentiseringsapp som Google Authenticator, Microsoft Authenticator eller Authy. Koden byts var 30:e sekund och lämnar aldrig telefonen via mobilnätet. Det stänger dörren för SIM-swap, men koden kan fortfarande lockas ur en användare via en falsk inloggningssida.
Passnyckeln är det nyaste alternativet och bygger på en kryptografisk nyckel som är låst till en specifik enhet och en specifik tjänst. Nyckeln kan inte phishas, eftersom den vägrar att fungera på en falsk webbplats. Den enda interaktion användaren behöver göra är att låsa upp telefonen med fingeravtryck, ansikte eller PIN-kod.
Branschen rör sig snabbt mot passnycklar
På World Passkey Day den 7 maj uppskattade intresseorganisationen FIDO Alliance att fem miljarder passnycklar nu är i bruk i världen. Enligt två undersökningar utförda av Sapio Research i april 2026 är 90 procent av konsumenterna medvetna om passnycklar, 75 procent har aktiverat minst en, och 49 procent använder dem regelbundet när tjänsten stödjer det.
”Passnycklar är på väg att bli mainstream eftersom de levererar något som branschen i decennier har kämpat för att uppnå: autentisering som är både säkrare och enklare att använda”, säger Andrew Shikiar, vd för FIDO Alliance, i ett uttalande i samband med rapporten.
Bland företagen har 68 procent antingen rullat ut passnycklar eller är i färd med det. Däremot förlitar sig fortfarande 57 procent av organisationerna på lösenord eller andra phishingbara metoder som primär inloggning, enligt en genomgång av rapporten från säkerhetsföretaget Descope.
Vad du bör göra nu
För svenska konsumenter är beslutsregeln enklare än den ser ut. Aktivera passnyckel överallt där tjänsten erbjuder det, först och främst i Google-, Apple- och Microsoft-kontot samt på sociala medier och hos större e-handlare. De tre stora plattformsägarna trycker alla på passnyckel som standardalternativ för nya konton.
Där passnyckel saknas är en autentiseringsapp nästa val. Den fungerar oavsett om mobilnätet ligger nere och skyddar mot SIM-swap. SMS-koden bör reserveras för tjänster som inte erbjuder något bättre, samt som reservalternativ om du tappar bort telefonen.
I bank- och myndighetskontakter dominerar mobilt BankID, och en kommande statlig e-legitimation är under utveckling. Båda bygger på principer som ligger nära passnyckeln – en kryptografisk nyckel knuten till enheten – och betraktas som säkra för de högsta nivåerna.
Den som vill ligga steget före kan börja redan i dag. Gå in på säkerhetsinställningarna i Google-, Apple- eller Microsoft-kontot, välj ”lägg till passnyckel” och låt telefonen sköta resten. Inloggningen blir snabbare, säkrare och samtidigt klar för det system som de stora plattformarna rullar ut under resten av året.