Två tekniker dominerar modern kontosäkerhet: passkeys och tvåfaktorsautentisering (2FA). Båda går bortom begränsningarna med ett enda användarnamn och lösenord, men de gör det på lite olika sätt. Den här artikeln går igenom hur respektive metod fungerar, hur de står sig säkerhetsmässigt och hur de kan implementeras smidigt, så att användare kan avgöra vad som passar bäst för deras privata eller affärsmässiga behov.
Grundidén bakom passkeys och 2FA
Hur fungerar passkeys?
Funktion | Passkey | 2FA |
Primärt mål | Ersätta lösenordet med ett kryptografiskt utbyte med publik nyckel | Lägga till en andra faktor till ett befintligt lösenord |
Så fungerar det | Ett kryptografiskt nyckelpar (publik och privat nyckel) genereras på användarens enhet. Den publika nyckeln lagras på servern och den privata nyckeln på enheten. Vid inloggning skickar servern en utmaning till användarens enhet, som signerar utmaningen med den privata nyckeln och skickar tillbaka signaturen. | Efter korrekt lösenordsautentisering begär webbplatsen eller appen ytterligare information: en kod från en autentiseringsapp, ett sms, ett e-postmeddelande eller en hårdvarutoken. |
Vad användarna ser | ”Logga in med din enhet” eller en uppmaning att trycka med ett fingeravtryck eller skanna ett ansikte. | En uppmaning att ange en sifferkod visas efter att användaren har angett sitt lösenord. |
Både passkeys och 2FA lägger till ett extra skyddslager som gör det mycket svårare för angripare att få åtkomst, men de gör det genom att utnyttja olika säkerhetsprinciper.
Säkerhetsgrunderna för passkeys förklarade
Passkeys bygger på en mogen och välutforskad kryptografisk grundprincip: publik nyckelinfrastruktur (PKI) och kryptografi med publik nyckel, som syftar till att ersätta lösenord. När en användare skapar en enhetsbunden passkey använder användarens enhet en säker enklav eller betrodd exekveringsmiljö (TEE) som håller den privata nyckeln.
Till skillnad från lösenord stannar den privata nyckeln på enheten och skyddas av biometri eller en PIN-kod. En onlinetjänst som stöder passkeys känner bara till den publika nyckeln, som inte kan användas för att återskapa den privata nyckeln. Det stärker säkerheten online. Metoden med ett publikt-privat nyckelpar ger högre säkerhet än någon annan aktuell autentiseringsmetod. Passkeys hjälper till att förhindra nätfiskeattacker på webbplatser och i appar genom att använda en annan process än traditionella lösenord.
När en passkey har skapats sker följande process vid inloggning:
Serverutmaning: Servern skickar ett slumpmässigt nonce-värde (ett tal som bara används en gång) till enheten.
Signaturgenerering: Med biometrisk autentisering signerar användarens enhet nonce-värdet med algoritmen ECDSA eller EdDSA (vanliga val är kurvan secp256r1 för ECDSA och kurvan ed25519 för EdDSA).
Signaturverifiering: Webbplatsen eller appen verifierar signaturen med den lagrade publika nyckeln. Om signaturen stämmer autentiseras användaren.
Eftersom den privata nyckeln aldrig lämnar enheten och aldrig överförs via nätverket kan en angripare som komprometterar servern inte utge sig för att vara användaren, eftersom angriparen inte kan autentisera användarens passkey.
Även om angripare lyckas stjäla den lagrade publika nyckeln för ett konto kan de inte förfalska den signatur som krävs. Det är en mycket starkare garanti än att förlita sig på att ett lösenord förblir hemligt, eftersom lösenord kan stjälas, gissas eller knäckas. Synkroniserade passkeys ger starkare skydd mot dataintrång än traditionella lösenord och hjälper till att skydda känslig information.
Styrkor med 2FA
Medan passkeys ersätter lösenordet för ett konto helt och hållet lägger 2FA till en andra faktor till det befintliga lösenordet. Därför är 2FA ofta det första steget många tar mot starkare säkerhet. Det stöds redan på nästan alla plattformar och kan införas med en rad olika metoder för den andra faktorn, bland annat:
Autentiseringsappar: Bitwarden Authenticator, Google Authenticator, Microsoft Authenticator, Authy osv., som genererar tidsbaserade engångslösenord (TOTP).
SMS-koder: Unika koder som skickas till användarens telefonnummer.
E-postkoder: Koder som skickas till användarens registrerade e-postadress.
Hårdvarutoken: YubiKey eller Duo Securitys hårdvarunycklar, som tillhandahåller en fysisk utmaning–svar-mekanism.
Varje metod balanserar bekvämlighet och säkerhet på olika sätt.
SMS-koder är praktiska men kan fångas upp genom SIM-kapning eller avlyssning av nätverket, så de rekommenderas vanligtvis bara för konton med låg risk. Vissa tjänster, till exempel många banker, erbjuder dock endast SMS- eller e-postkoder för användarverifiering.
2FA ger högre säkerhet än ett enkelt lösenord, kan konfigureras efter användarens bekvämlighetsnivå och är brett etablerat. Som ett tillägg eliminerar 2FA inte lösenord, men det kräver att angripare får tag på både rätt lösenord och den andra faktorn för att få åtkomst till kontot.
Jämförelse av passkeys och 2FA i praktiken
Säkerhetsjämförelse
Passkeys: Ett system med utmaning–svar baserat på publika och privata nycklar, matematiskt utformat för att vara omöjligt att förfalska så länge den privata nyckeln aldrig lämnar enheten. Eftersom den privata nyckeln aldrig exponeras kan inte ens en komprometterad server utge sig för att vara användaren, så en illvillig aktör kan inte komma åt ett konto.
Det gör passkeys till den säkraste autentiseringsmetoden som finns i dag, genom att kombinera kryptografiskt bevis på innehav med biometrisk verifiering eller PIN-verifiering i en smidig upplevelse. Och tack vare det extra lagret från enhetens fingeravtryckssensor eller ansiktsskanner lägger passkeys till biometrisk autentisering i processen, vilket hjälper till att förhindra nätfiskeattacker och andra säkerhetsintrång.
2FA: Att lägga till en andra faktor höjer ribban dramatiskt för angripare, som skulle behöva gissa eller knäcka lösenordet med brute force och få tag på den andra faktorn för att komma åt ett konto.
De starkaste 2FA-metoderna, som hårdvarutoken eller TOTP, är nästan lika säkra som passkeys i många scenarier där kontoinloggning krävs.
TOTP-koder kan genereras via fristående appar som Bitwarden Authenticator, och vissa lösenordshanterare erbjuder även inbyggt stöd för 2FA.
SMS-baserad 2FA är mindre säker eftersom den är beroende av mobilnätets integritet. Den ger dock fortfarande ett meningsfullt försvarslager mot credential stuffing och brute force-attacker.
När du väljer mellan passkeys och 2FA kan du tänka på säkerhet som ett nivåindelat system där passkeys ligger allra högst upp, medan 2FA ligger strax under, men fortfarande över grundläggande lösenordsskydd.
Implementering och användarvänlighet
Passkeys
Hur passkeys fungerar kan kännas lite mystiskt. Det är förståeligt, eftersom de är relativt nya. Passkeys fungerar tack vare biometriska sensorer och API:er för ansiktsigenkänning i moderna smarttelefoner, bärbara datorer och surfplattor. Dessa biometriska funktioner aktiverar passkeyn vid autentisering. När en passkey skapas registreras den publika nyckeln automatiskt hos servern under konfigurationen. Därefter är det lika enkelt att logga in som att lägga ett finger på en sensor eller titta på skärmen. För många användare känns upplevelsen nästan osynlig – inga långa lösenord att skriva in och inga 2FA-koder att komma ihåg.
2FA
Den här konfigurationen innebär vanligtvis att man kopplar en autentiseringsapp eller konfigurerar en hårdvarutoken, till exempel hårdvarunycklar som följer FIDO Alliances standarder. När den väl är konfigurerad är processen enkel: ange ett användarnamn och lösenord och skriv sedan in koden som visas i autentiseringsappen eller koden som kom via SMS. Eftersom 2FA har funnits länge finns det gott om guider, hjälpartiklar och supportresurser, och nästan alla webbplatser och tjänster stöder numera detta extra skyddslager.
Jämförelse
Båda metoderna kräver en liten inledande konfiguration, men den extra säkerheten och användarnas integritet är värda tiden det tar att komma igång. Att skapa en passkey minskar friktionen genom att ta bort behovet av att skriva in koder, tack vare de två kryptografiska nycklarna, medan 2FA ger användare en konkret känsla av extra skydd. Att stärka autentiseringsrutinerna med någon av metoderna ger bättre säkerhet och hjälper till att förhindra att data hamnar på dark web.
Kostnad och infrastruktur
Passkeys
Ingen ytterligare hårdvara behövs om en enhet med biometriskt stöd, till exempel en telefon, redan används. Den enda kostnaden uppstår på företagssidan, genom det utvecklingsarbete som krävs för att exponera den publika nyckeln för servern. För tjänsteleverantörer är detta en engångskostnad för integration per plattform.
2FA
Om man väljer en autentiseringsapp på en enhet är kostnaden i princip noll. Hårdvarutoken medför en liten engångskostnad; en YubiKey kostar till exempel cirka 50 USD för en basmodell. För företag kan licens- eller prenumerationsavgifter tillkomma för 2FA-lösningar i företagsklass, som Duo eller Okta.
Nätfiskeresistent kontra nätfiskesäker
Vad är skillnaden mellan nätfiskeresistent och nätfiskesäker? Termen ”nätfiskeresistens” används av många organisationer, däribland NIST, CISA, Microsoft och FIDO Alliance. Dessutom NIST SP 800-63-4 (2025) definierar motståndskraft mot nätfiske och kräver det för AAL3.
System som är motståndskraftiga mot nätfiske omfattar i allmänhet följande säkerhetsåtgärder:
Flerfaktorsautentisering (MFA): Kräver att användare anger ytterligare verifiering, till exempel en kod som skickas till deras telefon eller en biometrisk skanning.
Autentiseringsprotokoll som är motståndskraftiga mot nätfiske: Kräver användning av protokoll som WebAuthn eller FIDO2 för att ge ett säkrare sätt att autentisera användare.
Utbildning i säkerhetsmedvetenhet: Användare måste utbildas i hur de identifierar och undviker nätfiskeförsök.
Avancerad hotdetektering: AI-driven hotdetektering kan användas för att identifiera och blockera misstänkta e-postmeddelanden eller meddelanden.
CISA råder också återkommande organisationer att implementera nätfiskeresistent flerfaktorsautentisering, till exempel FIDO-säkerhetsnycklar eller smartkort. Från och med 2025 har Microsoft anpassat sin vägledning till Zero Trust och förespråkar nätfiskeresistent MFA och lösenordsfria införanden. Slutligen positionerar FIDO Alliance lösenordsnycklar/FIDO2/WebAuthn som motståndskraftiga mot nätfiske och som en ersättning för äldre MFA (lösenord + sms).
Även om lösenordsnycklar erkänns som motståndskraftiga mot nätfiske på AAL2 anger NIST SP 800-63-4 att endast enhetsbundna lösenordsnycklar med icke-exporterbara privata nycklar uppfyller AAL3-kraven. Synkroniserbara lösenordsnycklar (för flera enheter), som tillåter synkronisering mellan enheter via molntjänster, är inte tillåtna på AAL3 eftersom den privata nyckeln måste vara exporterbar för synkronisering. Organisationer som kräver AAL3-försäkran bör använda hårdvarubaserade säkerhetsnycklar, smartkort eller enhetsbundna lösenordsnycklar i stället för synkroniserbara lösenordsnycklar.
Ett system som är helt skyddat mot nätfiske är i teorin fullständigt resistent mot nätfiskeattacker, vilket innebär att det är så säkert att det är omöjligt att använda nätfisketekniker för att lura användare att lämna ut känslig information. I praktiken är det dock nästan omöjligt att skapa ett sådant system eftersom det, även med de mest avancerade säkerhetsåtgärderna, alltid finns en risk för mänskliga misstag. Sådana system skulle kräva:
Okrossbara autentiseringsprotokoll: Ett system som är helt skyddat mot nätfiske skulle kräva användning av protokoll som i teorin är okrossbara, till exempel kvantresistent kryptografi.
Perfekt säkerhetsmedvetenhet: Alla användare skulle behöva vara helt immuna mot social manipulation.
Intrångssäker design: Systemet skulle behöva utformas med säkerhet i åtanke och använda tekniker som säkra kodningsmetoder och hotmodellering.
System som är motståndskraftiga mot nätfiske är utformade för att vara mycket säkra och kan implementeras enkelt och framgångsrikt. Undersök noggrant alla tjänster som påstår sig erbjuda system som är helt skyddade mot nätfiske innan du går vidare.
Så väljer du rätt metod
Valet av rätt metod beror på flera faktorer. Den första faktorn är hur enkel konfigurationen är. 2FA är enklare att konfigurera från början, men lösenordsnycklar ger en högre säkerhetsnivå. Tänk på de här tipsen när du väljer:
Konton med högt värde (bank, företagsadministration): Använd en hårdvarutoken för 2FA eller byt till lösenordsnycklar, om det stöds.
Vanliga konsumentkonton (sociala medier, e-post): 2FA med en TOTP-autentiseringsapp ger starkt skydd och har brett stöd.
Konton med låg risk: 2FA via sms eller e-post kan vara acceptabelt, men överväg att uppgradera till en starkare metod om kontot innehåller känsliga data.
Sammanfattning
När man jämför lösenordsnycklar med 2FA beror svaret på prioriteringarna:
Om maximal säkerhet är viktigast och en telefon med fingeravtrycks- och/eller ansiktsigenkänning finns tillgänglig är lösenordsnycklar det bästa valet.
Om målet är en snabb, stegvis förbättring jämfört med vanlig autentisering med användarnamn och lösenord som fungerar på många plattformar är 2FA, särskilt med hårdvarutoken eller TOTP-appar, det näst bästa steget.
Oavsett vilket går detta bort från sårbarheterna med autentisering enbart med lösenord och innebär meningsfulla steg mot starkare skydd.
Hantera både lösenordsnycklar och tvåfaktorsautentisering med Bitwarden
Lösenordsnycklar innebär ett stort steg framåt för säker och användarvänlig inloggning, medan 2FA fortfarande är ett kraftfullt och brett använt skydd som kan anpassas efter användarens behov. När du utvärderar valet mellan lösenordsnyckel och 2FA bör du väga avvägningarna mellan säkerhet, bekvämlighet och de resurser som krävs för implementering. Oavsett vilken väg du väljer tar du ett meningsfullt steg mot starkare digital säkerhet.
För dem som redan använder Bitwarden lösenordshanterare, eller överväger att börja använda den, kan lösenordsnycklar och 2FA hanteras på Apple- och Android-enheter samt i alla större operativsystem, vilket samlar säkerheten i ett enda verktyg.