SMS, App eller Hardware-nøgle? Vælg den rigtige MFA-metode

Sammenligning af MFA-metoder: SMS-kode, Authenticator-app og FIDO2 hardware-nøgle til Microsoft 365

SMS, App eller Hardware-nøgle? Vælg den rigtige MFA-metode

Af Sten Albert Person A-one Solutions ·
·
Kategori: IT-sikkerhed

De fleste danske virksomheder har slået MFA til i Microsoft 365. Godt. Men mange bruger stadig SMS-koder — en metode, som CISA og FBI officielt fraråder. Forskellen mellem SMS, Authenticator-app og en FIDO2 hardware-nøgle er ikke akademisk. Det er forskellen mellem at bestå en NIS2-audit og at stå med et åbent sikkerhedshul.

Det vigtigste fra denne artikel

  • SMS-MFA er den svageste metode — sårbar over for SIM-swapping og AiTM-angreb. Udfas den for alle admin-konti nu.
  • Authenticator-apps (push/TOTP) er et solidt mellemniveau — men kan omgås af avanceret phishing. Slå altid Number Matching til.
  • FIDO2 hardware-nøgler er phishing-resistant — den eneste metode, der blokerer AiTM-angreb fuldstændigt.
  • NIS2 kræver “passende” adgangskontrol — SMS-MFA vil sandsynligvis give anmærkninger ved en audit.
  • En hybrid-model giver mest mening for SMV’er — FIDO2 til admins og ledelse, Authenticator-app til øvrige brugere.

Oversigt over tre MFA-metoder rangeret efter sikkerhedsniveau

Hvorfor SMS-MFA er en falsk tryghed

SMS-koder sendes ukrypteret over telefonnetværket. Det gør dem sårbare på mindst to måder:

SIM-swapping: En angriber overtaler jeres teleselskab til at flytte et telefonnummer til et nyt SIM-kort. Herefter modtager angriberen alle SMS-koder. Det kræver kun social engineering — ingen teknisk ekspertise.

SS7-sårbarheder: Telefonnetværkets signaleringsprotokol (SS7) har kendte svagheder, som gør det muligt at opsnappe SMS-beskeder. Telekom-kompromitteringer som Salt Typhoon-angrebet i 2024 viste, hvor reelt problemet er (1Password, 2025).

NIST klassificerer SMS som “Restricted” i deres retningslinjer for digital identitet. Det betyder: brug det kun, hvis I ikke har andre muligheder. Og det har I.

Før: Virksomheden bruger SMS-koder til alle brugere i Microsoft 365. IT-afdelingen tror, MFA er på plads.
Efter: SMS udfases for admin-konti og erstattes med FIDO2. Angrebsfladen for privilegerede konti reduceres markant, og virksomheden opfylder NIS2-kravet om phishing-resistant adgangskontrol.

Authenticator-app: God — men ikke uigennemtrængelig

Microsoft Authenticator og lignende apps er et stort skridt op fra SMS. Push-notifikationer er hurtige, og TOTP-koder genereres lokalt på telefonen — ikke sendt over netværket.

Men der er to kendte svagheder:

MFA-fatigue (MFA-bombing): Angriberen sender gentagne push-notifikationer, indtil brugeren godkender én af dem i frustration. Microsoft har modsvaret dette med Number Matching, som kræver, at brugeren indtaster et tal vist på login-skærmen. Sørg for, at det er slået til — det er nu obligatorisk i Microsoft Entra ID.

AiTM-angreb (Adversary-in-the-Middle): Angriberen placerer en falsk login-side mellem brugeren og Microsoft. Brugeren logger ind normalt — godkender MFA og det hele — men angriberen opsnapper session-tokenet bagefter. Ifølge Verizons DBIR-rapport er denne angrebstype i kraftig vækst. Authenticator-apps kan ikke forhindre det.

Diagram der viser hvordan et AiTM-angreb omgår Authenticator-app i Microsoft 365

FIDO2 hardware-nøgler: Phishing-resistant MFA forklaret

En FIDO2-nøgle (fx YubiKey) binder login til det specifikke domæne. Hvis en bruger lander på en falsk Microsoft-loginside, nægter nøglen simpelthen at svare. Den kryptografiske udfordring matcher ikke, og angrebet fejler.

Det er derfor, NCSC (UK) og ENISA (EU) begge placerer FIDO2 øverst i deres anbefalinger. Det er den eneste MFA-metode, der blokerer AiTM-angreb fuldstændigt.

Ulempen? Prisen. En YubiKey koster 400–600 kr. pr. stk., og hver bruger bør have to (én som backup). Men sæt det op mod omkostningen ved ét vellykket ransomware-angreb — eller den løbende supporttid, når medarbejdere mister deres telefon og skal have MFA genopsat (Dashlane, 2025).

Før: IT-support bruger 30–60 minutter pr. medarbejder, der mister eller skifter telefon, på at genopsætte Authenticator-app.
Efter: Med FIDO2-nøgler er der ingen afhængighed af medarbejderens private telefon. Backup-nøglen ligger i skuffen. Genopsætning tager under 5 minutter.

Tjekliste: Vælg MFA-metode efter risikoprofil

Kriterium SMS-kode Authenticator-app FIDO2 hardware-nøgle
Beskytter mod phishing ❌ Nej ⚠️ Delvist (med Number Matching) ✅ Ja (domæne-bundet)
Beskytter mod AiTM-angreb ❌ Nej ❌ Nej ✅ Ja
Beskytter mod SIM-swapping ❌ Nej ✅ Ja ✅ Ja
Kræver privat telefon ✅ Ja ✅ Ja ❌ Nej
Upfront-pris pr. bruger Ingen Ingen 800–1.200 kr. (2 nøgler)
Løbende supportbyrde Middel Middel–Høj (telefon-reset) Lav
NIS2-egnet til privilegerede konti ❌ Nej ⚠️ Acceptabelt ✅ Anbefalet
Entra ID-licenskrav Alle planer Alle planer Entra ID P1 eller P2

FIDO2 YubiKey hardware-nøgle ved siden af en smartphone med Microsoft Authenticator

Sådan bygger I en hybrid MFA-strategi i Microsoft Entra ID

De færreste SMV’er skal rulle FIDO2 ud til alle 50 medarbejdere fra dag ét. En tiered tilgang giver mest mening:

  1. Tier 1 — FIDO2 hardware-nøgler: Alle Global Admins, IT-admins, C-level og medarbejdere med adgang til følsomme data. Kræver Entra ID P1/P2.
  2. Tier 2 — Microsoft Authenticator (med Number Matching): Alle øvrige brugere. Sørg for, at Number Matching og Passwordless Phone Sign-in er aktiveret.
  3. Tier 3 — Udfas SMS: Blokér SMS som MFA-metode i Entra ID Authentication Methods. Giv en overgangsperiode på 30 dage med klar kommunikation.

Denne model balancerer sikkerhed med økonomi og brugervenlighed. Den opfylder NIS2-kravene til adgangskontrol for privilegerede konti og reducerer jeres angrebsflade markant.

Er jeres MFA-setup klar til en NIS2-audit?
Book 30 minutters uforpligtende sparring med A-one Solutions. Vi kortlægger jeres nuværende MFA-metoder i Microsoft 365, identificerer hullerne og leverer en konkret plan for udrulning af phishing-resistant MFA.
Book sparring her →

NIS2 og MFA: Hvad kræver loven konkret?

NIS2-direktivet nævner ikke “FIDO2” eller “Authenticator” ved navn. Men det kræver, at virksomheder implementerer “passende og forholdsmæssige tekniske foranstaltninger” til adgangskontrol. ENISA’s retningslinjer præciserer, at phishing-resistant MFA er et kritisk kontrolpunkt for entiteter under direktivet.

I praksis betyder det: Hvis jeres virksomhed er omfattet af NIS2, og I stadig bruger SMS-MFA til admin-konti, vil en auditor med stor sandsynlighed notere det som en mangel. Skift til FIDO2 for privilegerede konti er den sikreste vej til compliance.

Ofte stillede spørgsmål om MFA-metoder

Er SMS-MFA bedre end ingen MFA?

Ja. Enhver form for MFA blokerer størstedelen af automatiserede angreb. Men SMS er den svageste metode og bør erstattes hurtigst muligt — særligt for admin-konti og brugere med adgang til følsomme data.

Hvilken MFA-metode anbefales til Microsoft Entra ID?

Microsoft anbefaler FIDO2 hardware-nøgler som den stærkeste metode. For de fleste brugere er Microsoft Authenticator med Number Matching et godt alternativ. SMS bør udfases.

Hvad koster en FIDO2 hardware-nøgle som YubiKey?

En YubiKey 5-serie koster typisk 400–600 kr. Regn med to nøgler pr. bruger (primær + backup), altså 800–1.200 kr. pr. person. For en virksomhed med 10 admins er det en engangsinvestering på ca. 10.000 kr.

Kan Authenticator-apps omgås af hackere?

Ja. AiTM-angreb (Adversary-in-the-Middle) kan opsnappe session-tokens, selv efter brugeren har godkendt MFA i appen. FIDO2-nøgler er den eneste MFA-metode, der blokerer denne angrebstype.

Hvad er MFA-fatigue, og hvordan forhindrer vi det?

MFA-fatigue opstår, når en angriber sender gentagne push-notifikationer, indtil brugeren godkender én. Aktivér Number Matching i Microsoft Entra ID — det kræver, at brugeren indtaster et specifikt tal, og gør blind godkendelse umulig.

Kræver NIS2 en bestemt MFA-metode?

NIS2 specificerer ikke en bestemt teknologi, men kræver “passende” adgangskontrol. ENISA fremhæver phishing-resistant MFA (FIDO2) som et kritisk kontrolpunkt. SMS-MFA vil sandsynligvis ikke bestå en audit for privilegerede konti.

Kan vi bruge FIDO2 uden at opgradere vores Microsoft-licens?

FIDO2-understøttelse i Entra ID kræver minimum Entra ID P1 (inkluderet i Microsoft 365 Business Premium). Har I en lavere plan, skal I opgradere — eller kontakt A-one Solutions for rådgivning om den rette licensmodel.

Tre skridt I kan tage i denne uge

  1. Auditér jeres nuværende MFA-metoder: Log ind i Microsoft Entra Admin Center → Authentication Methods. Kortlæg, hvilke brugere der stadig bruger SMS. Prioritér admin-konti.
  2. Aktivér Number Matching: Hvis I bruger Microsoft Authenticator, verificér at Number Matching er slået til for alle brugere. Det tager 5 minutter og lukker MFA-fatigue-hullet.
  3. Bestil FIDO2-nøgler til jeres admins: Start med Global Admins og IT-admins. To nøgler pr. person. Registrér dem i Entra ID, og blokér SMS som metode for disse konti.

Har I brug for hjælp til udrulningen? A-one Solutions’ driftsteam kan håndtere hele processen — fra licensoptimering til brugerudrulning.

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?