Guidebanken logotyp Guidebanken
Teknik & digitalt

Aktivera tvåfaktorsautentisering — komplett guide för dina viktigaste konton

Praktisk guide till att aktivera 2FA på Google, Apple, Facebook och BankID — metodjämförelse, steg-för-steg och vad du gör om mobilen försvinner.

Profilbild på Elin Bergström
Elin Bergström
Hand som håller en smartphone där en sexsiffrig 2FA-kod visas på skärmen

Lösenord ensamt har varit otillräckligt i ungefär ett decennium. Större databasläckor sker varje månad, och om någon får tag på ditt e-postlösenord når de varje konto du återställer via den adressen. Tvåfaktorsautentisering — 2FA — fixar det med ett andra steg som angriparen inte har tillgång till, även om de har lösenordet.

Google har redovisat att aktiverad 2FA blockerar upp till 100 procent av automatiserade bot-attacker, 99 procent av phishing-försök och 66 procent av riktade attacker. Det är skillnaden mellan att vara ett rörligt mål och en låst dörr.

Vad tvåfaktorsautentisering faktiskt är (och varför det inte är krångligt)

Tvåfaktorsautentisering kräver två oberoende bevis för att du är du. Ett räcker inte, två är vad som krävs. De delas in i tre kategorier:

  • Något du vet — lösenord, PIN, lösenfras
  • Något du har — mobiltelefon, säkerhetsnyckel, BankID-kort
  • Något du är — fingeravtryck, ansiktsigenkänning, biometri

För att räknas som 2FA måste de två faktorerna komma från olika kategorier. Två lösenord = inte 2FA. Lösenord + sexsiffrig kod från din autentiseringsapp = 2FA.

Det klassiska vardagsexemplet är bankomaten: kortet (något du har) plus PIN-koden (något du vet). Den principen flyttades online, och så hamnade vi här.

Multifaktorautentisering (MFA) är samma sak med möjlighet till fler faktorer. 2FA är specialfallet med exakt två.

De fem metoderna — rangordnade från säkrast till minst säker

Alla 2FA-metoder är inte likvärdiga. Skillnaden mellan en hårdvarunyckel och en SMS-kod är ungefär som mellan ett bankvalv och en cykellåskedja — båda är säkrare än ingenting, men de är inte i samma division.

1. Passkey eller fysisk säkerhetsnyckel (säkrast) En passkey är en kryptografisk nyckel som lagras på enheten och bekräftas med fingeravtryck eller Face ID. Ingen kod, inget lösenord. Hårdvarunycklar som YubiKey och Google Titan ger samma skydd via en fysisk USB- eller NFC-enhet. Båda är immuna mot phishing — angriparen kan inte locka ur dig något du aldrig skriver.

2. Autentiseringsapp (TOTP) Apparna Google Authenticator, Microsoft Authenticator och Authy genererar sexsiffriga koder som roterar var trettionde sekund. Koden räknas ut lokalt på telefonen, utan internetuppkoppling. Bra balans mellan säkerhet och bekvämlighet. De flesta lösenordshanterare (1Password, Bitwarden) har inbyggd TOTP-stöd.

3. Push-notiser Trycker du ”Ja” på en notis från Google eller Microsoft. Snabbare än att skriva en kod, och skyddar mot SIM-swap. Lite mer sårbart för push-fatigue där angriparen spammar tills du klickar fel av misstag.

4. SMS-koder Engångskod skickas till mobilnumret. Bättre än bara lösenord, men sårbart för SIM-swap där angriparen lurar din operatör att flytta ditt nummer till deras SIM-kort. Det har hänt svenska användare flera gånger. Använd om appen inte är tillgänglig, men gå över till TOTP när du kan.

5. E-postkoder (sista utvägen) Koden skickas till en separat e-postadress. Endast meningsfullt om e-postkontot har starkare 2FA än det konto du försöker skydda — annars är det cirkelresonemang.

Aktivera 2FA på Google-kontot (börja här)

Ditt Google-konto är huvudnyckeln. Om någon kommer in där når de Gmail, Drive, foton, YouTube, Android-säkerhetskopiering och varje konto du återställer via Gmail. Aktivera det här först.

  1. Gå till myaccount.google.com
  2. Välj Säkerhet i menyn till vänster
  3. Under ”Så här loggar du in på Google”, klicka Tvåstegsverifiering
  4. Klicka Kom igång och bekräfta lösenordet
  5. Lägg till din telefon och välj antingen push-notiser, SMS eller röstsamtal
  6. När det är aktiverat — bläddra ner och klicka Reservkoder
  7. Ladda ner eller skriv ut de tio åttasiffriga reservkoderna. Förvara dem offline

Google rekommenderar push-notiser eller passkey framför SMS, eftersom koderna då inte kan avlyssnas via mobilnätet. Lägg gärna till en autentiseringsapp som ”andra steg” så att du har två oberoende sätt att verifiera.

Aktivera 2FA på Apple-konto, iCloud och iPhone

Apple kallar det tvåfaktorsautentisering och kräver det redan för iCloud Keychain, Apple Pay och de flesta nyare konton. Skapar du ett Apple-konto idag är 2FA påslaget per default — du kan inte stänga av det.

På iPhone eller iPad:

  1. Öppna Inställningar → tryck på ditt namn högst upp
  2. Välj Inloggning och säkerhet
  3. Aktivera Tvåfaktorsautentisering
  4. Verifiera ditt telefonnummer

På Mac: Systeminställningar → Apple-konto → Inloggning och säkerhet.

Apple skickar en sexsiffrig verifieringskod till dina betrodda enheter när du loggar in på en ny enhet. Lägg till ett alternativt telefonnummer (gärna en familjemedlems) i fall du inte når dina egna enheter.

Aktivera 2FA på Facebook och andra sociala medier

Facebook har gått från att gömma alternativet till att aktivt pusha det de senaste åren, men det är fortfarande inte påslaget per default.

  1. Gå till facebook.com/settings/security
  2. Klicka Använd tvåfaktorsautentisering och Redigera
  3. Välj Använd autentiseringsapp
  4. Öppna Google Authenticator eller motsvarande på telefonen
  5. Tryck på plus-ikonen → Skanna en QR-kod
  6. Skanna QR-koden på skärmen
  7. Skriv in den sexsiffriga koden som visas i appen för att bekräfta

För Instagram, X och LinkedIn är processen nästan identisk — säkerhetsinställningar → tvåfaktorsautentisering → autentiseringsapp → skanna QR-kod. Räkna med fem minuter per tjänst.

BankID och svenska banker — vad du redan har

BankID är multifaktorautentisering i grunden. Du har enheten (mobil, dator, kort) och bevisar identiteten med PIN eller fingeravtryck. För banker, Skatteverket, 1177 och offentliga tjänster räcker det — du behöver inte lägga till något ovanpå.

Mobilt BankID är det enklaste och dominerar 2026. BankID på fil (BankID för dator) finns kvar men fasas ut. BankID på kort används främst av äldre och inom vissa myndigheter.

Det här täcker dock inte dina internationella konton. Google, Apple, Facebook och Microsoft har ingen koppling till BankID och behöver egna 2FA-lösningar. Tänk på BankID som ditt svenska id-kort online — bra för Sverige, men det fungerar inte i Frankrike.

Reservkoder och hur du inte låser ute dig själv

Här går de flesta vilse. Du aktiverar 2FA, tappar telefonen två månader senare, och inser att du inte har någon väg in i ditt eget konto.

Tre saker att göra direkt när du aktiverar 2FA på en tjänst:

  1. Spara reservkoderna. Skriv ut, lägg i en skrivbordslåda eller säkerhetsskåp. Bättre alternativ: lägg i din lösenordshanterare i ett separat ”Reservkoder”-fält. Sämst: skicka mejl till dig själv — då bygger du in motpartens svaghet i ditt försvar.
  2. Lägg till en sekundär metod. De flesta tjänster tillåter både en autentiseringsapp och en säkerhetsnyckel eller ett backup-telefonnummer. Ha minst två.
  3. Skriv ner vilka tjänster som har 2FA. En enkel lista i lösenordshanteraren räcker. Annars glömmer du att uppdatera när du byter telefon.

Vid telefonbyte — flytta över Google Authenticator innan du fabriksåterställer den gamla. Authy och 1Password har molnsynkning som löser det automatiskt. Google Authenticator har fått molnsynkning under 2023, men kräver att du loggar in i appen med ditt Google-konto.

Vanliga fel

  • Bara SMS överallt. SMS är ”bättre än inget” men en kvalificerad angripare kan kringgå det. Använd TOTP-app eller passkey där det erbjuds.
  • Inga reservkoder. Du kommer tappa telefonen någon gång. Spara koderna när du aktiverar 2FA — inte efter att olyckan skett.
  • Autentiseringsapp på enheten du loggar in från. Mindre allvarligt än det låter, men om du loggar in på Gmail från din mobil och TOTP-appen är på samma mobil är det egentligen 1,5 faktorer. Ha en sekundär enhet eller säkerhetsnyckel som backup.
  • Phishing av engångskoder. Falska inloggningssidor frågar efter din 2FA-kod direkt efter lösenordet och vidarebefordrar till den äkta tjänsten. Passkey och hårdvarunyckel är immuna mot det här — kontrollera alltid domännamnet innan du skriver något.
  • Glömmer att uppdatera vid telefonbyte. Byt över alla 2FA-appar och säkerhetsnummer innan du återställer gamla telefonen. Det är 20 minuters arbete som sparar dagar av huvudvärk.
  • Använda samma e-post för 2FA-koder som du försöker skydda. Cirkelresonemang. Använd en separat metod.

2FA är inte besvärligt när det är på plats — det är besvärligt att sätta upp. En timme på en söndagskväll täcker dina viktigaste tio konton. Och nästa gång någon säger att de blivit hackade kan du, lite stolt och lite hemligt, veta att det inte kommer hända dig.

Taggar #säkerhet #tvåfaktorsautentisering #2fa #lösenord #digital säkerhet
Alla guider

Relaterade artiklar

Öppen laptop på ljust träbord med inloggningsfält och mjukt morgonljus från fönster
Teknik & digitalt

Byta lösenord Gmail — så gör du på dator, Android och iPhone

Praktisk guide för att byta lösenord till Gmail och Google-kontot — steg för steg på dator, Android och iPhone, plus säkerhetstips och vanliga fel.

iPhone på ett skrivbord som visar en lagringsgraf i Inställningar
Teknik & digitalt

Frigöra utrymme på iPhone — så får du tillbaka gigabyten utan att tappa något viktigt

Praktisk guide till att frigöra lagringsutrymme på iPhone — från Inställningar > iPhone-lagring och 'Annat'-kategorin till foton, Safari-cache och oanvända appar.

En iPhone på ett ljust träbord med en kaffekopp och anteckningsbok, mjukt dagsljus från fönster
Teknik & digitalt

Säkerhetskopiera iPhone steg för steg — så gör du det rätt

Komplett guide till att säkerhetskopiera din iPhone — via iCloud, dator (Finder/iTunes) och tredjepartsappar. Plus vad som faktiskt sparas och vanliga fel att undvika.