SMS, App eller Hardware-nøgle? Vælg den rigtige MFA-metode
·
Kategori: IT-sikkerhed
De fleste danske virksomheder har slået MFA til i Microsoft 365. Godt. Men mange bruger stadig SMS-koder — en metode, som CISA og FBI officielt fraråder. Forskellen mellem SMS, Authenticator-app og en FIDO2 hardware-nøgle er ikke akademisk. Det er forskellen mellem at bestå en NIS2-audit og at stå med et åbent sikkerhedshul.
Det vigtigste fra denne artikel
- SMS-MFA er den svageste metode — sårbar over for SIM-swapping og AiTM-angreb. Udfas den for alle admin-konti nu.
- Authenticator-apps (push/TOTP) er et solidt mellemniveau — men kan omgås af avanceret phishing. Slå altid Number Matching til.
- FIDO2 hardware-nøgler er phishing-resistant — den eneste metode, der blokerer AiTM-angreb fuldstændigt.
- NIS2 kræver “passende” adgangskontrol — SMS-MFA vil sandsynligvis give anmærkninger ved en audit.
- En hybrid-model giver mest mening for SMV’er — FIDO2 til admins og ledelse, Authenticator-app til øvrige brugere.

Hvorfor SMS-MFA er en falsk tryghed
SMS-koder sendes ukrypteret over telefonnetværket. Det gør dem sårbare på mindst to måder:
SIM-swapping: En angriber overtaler jeres teleselskab til at flytte et telefonnummer til et nyt SIM-kort. Herefter modtager angriberen alle SMS-koder. Det kræver kun social engineering — ingen teknisk ekspertise.
SS7-sårbarheder: Telefonnetværkets signaleringsprotokol (SS7) har kendte svagheder, som gør det muligt at opsnappe SMS-beskeder. Telekom-kompromitteringer som Salt Typhoon-angrebet i 2024 viste, hvor reelt problemet er (1Password, 2025).
NIST klassificerer SMS som “Restricted” i deres retningslinjer for digital identitet. Det betyder: brug det kun, hvis I ikke har andre muligheder. Og det har I.
Før: Virksomheden bruger SMS-koder til alle brugere i Microsoft 365. IT-afdelingen tror, MFA er på plads.
Efter: SMS udfases for admin-konti og erstattes med FIDO2. Angrebsfladen for privilegerede konti reduceres markant, og virksomheden opfylder NIS2-kravet om phishing-resistant adgangskontrol.
Authenticator-app: God — men ikke uigennemtrængelig
Microsoft Authenticator og lignende apps er et stort skridt op fra SMS. Push-notifikationer er hurtige, og TOTP-koder genereres lokalt på telefonen — ikke sendt over netværket.
Men der er to kendte svagheder:
MFA-fatigue (MFA-bombing): Angriberen sender gentagne push-notifikationer, indtil brugeren godkender én af dem i frustration. Microsoft har modsvaret dette med Number Matching, som kræver, at brugeren indtaster et tal vist på login-skærmen. Sørg for, at det er slået til — det er nu obligatorisk i Microsoft Entra ID.
AiTM-angreb (Adversary-in-the-Middle): Angriberen placerer en falsk login-side mellem brugeren og Microsoft. Brugeren logger ind normalt — godkender MFA og det hele — men angriberen opsnapper session-tokenet bagefter. Ifølge Verizons DBIR-rapport er denne angrebstype i kraftig vækst. Authenticator-apps kan ikke forhindre det.

FIDO2 hardware-nøgler: Phishing-resistant MFA forklaret
En FIDO2-nøgle (fx YubiKey) binder login til det specifikke domæne. Hvis en bruger lander på en falsk Microsoft-loginside, nægter nøglen simpelthen at svare. Den kryptografiske udfordring matcher ikke, og angrebet fejler.
Det er derfor, NCSC (UK) og ENISA (EU) begge placerer FIDO2 øverst i deres anbefalinger. Det er den eneste MFA-metode, der blokerer AiTM-angreb fuldstændigt.
Ulempen? Prisen. En YubiKey koster 400–600 kr. pr. stk., og hver bruger bør have to (én som backup). Men sæt det op mod omkostningen ved ét vellykket ransomware-angreb — eller den løbende supporttid, når medarbejdere mister deres telefon og skal have MFA genopsat (Dashlane, 2025).
Før: IT-support bruger 30–60 minutter pr. medarbejder, der mister eller skifter telefon, på at genopsætte Authenticator-app.
Efter: Med FIDO2-nøgler er der ingen afhængighed af medarbejderens private telefon. Backup-nøglen ligger i skuffen. Genopsætning tager under 5 minutter.
Tjekliste: Vælg MFA-metode efter risikoprofil
| Kriterium | SMS-kode | Authenticator-app | FIDO2 hardware-nøgle |
|---|---|---|---|
| Beskytter mod phishing | ❌ Nej | ⚠️ Delvist (med Number Matching) | ✅ Ja (domæne-bundet) |
| Beskytter mod AiTM-angreb | ❌ Nej | ❌ Nej | ✅ Ja |
| Beskytter mod SIM-swapping | ❌ Nej | ✅ Ja | ✅ Ja |
| Kræver privat telefon | ✅ Ja | ✅ Ja | ❌ Nej |
| Upfront-pris pr. bruger | Ingen | Ingen | 800–1.200 kr. (2 nøgler) |
| Løbende supportbyrde | Middel | Middel–Høj (telefon-reset) | Lav |
| NIS2-egnet til privilegerede konti | ❌ Nej | ⚠️ Acceptabelt | ✅ Anbefalet |
| Entra ID-licenskrav | Alle planer | Alle planer | Entra ID P1 eller P2 |

Sådan bygger I en hybrid MFA-strategi i Microsoft Entra ID
De færreste SMV’er skal rulle FIDO2 ud til alle 50 medarbejdere fra dag ét. En tiered tilgang giver mest mening:
- Tier 1 — FIDO2 hardware-nøgler: Alle Global Admins, IT-admins, C-level og medarbejdere med adgang til følsomme data. Kræver Entra ID P1/P2.
- Tier 2 — Microsoft Authenticator (med Number Matching): Alle øvrige brugere. Sørg for, at Number Matching og Passwordless Phone Sign-in er aktiveret.
- Tier 3 — Udfas SMS: Blokér SMS som MFA-metode i Entra ID Authentication Methods. Giv en overgangsperiode på 30 dage med klar kommunikation.
Denne model balancerer sikkerhed med økonomi og brugervenlighed. Den opfylder NIS2-kravene til adgangskontrol for privilegerede konti og reducerer jeres angrebsflade markant.
Er jeres MFA-setup klar til en NIS2-audit?
Book 30 minutters uforpligtende sparring med A-one Solutions. Vi kortlægger jeres nuværende MFA-metoder i Microsoft 365, identificerer hullerne og leverer en konkret plan for udrulning af phishing-resistant MFA.
Book sparring her →
NIS2 og MFA: Hvad kræver loven konkret?
NIS2-direktivet nævner ikke “FIDO2” eller “Authenticator” ved navn. Men det kræver, at virksomheder implementerer “passende og forholdsmæssige tekniske foranstaltninger” til adgangskontrol. ENISA’s retningslinjer præciserer, at phishing-resistant MFA er et kritisk kontrolpunkt for entiteter under direktivet.
I praksis betyder det: Hvis jeres virksomhed er omfattet af NIS2, og I stadig bruger SMS-MFA til admin-konti, vil en auditor med stor sandsynlighed notere det som en mangel. Skift til FIDO2 for privilegerede konti er den sikreste vej til compliance.
Ofte stillede spørgsmål om MFA-metoder
Er SMS-MFA bedre end ingen MFA?
Ja. Enhver form for MFA blokerer størstedelen af automatiserede angreb. Men SMS er den svageste metode og bør erstattes hurtigst muligt — særligt for admin-konti og brugere med adgang til følsomme data.
Hvilken MFA-metode anbefales til Microsoft Entra ID?
Microsoft anbefaler FIDO2 hardware-nøgler som den stærkeste metode. For de fleste brugere er Microsoft Authenticator med Number Matching et godt alternativ. SMS bør udfases.
Hvad koster en FIDO2 hardware-nøgle som YubiKey?
En YubiKey 5-serie koster typisk 400–600 kr. Regn med to nøgler pr. bruger (primær + backup), altså 800–1.200 kr. pr. person. For en virksomhed med 10 admins er det en engangsinvestering på ca. 10.000 kr.
Kan Authenticator-apps omgås af hackere?
Ja. AiTM-angreb (Adversary-in-the-Middle) kan opsnappe session-tokens, selv efter brugeren har godkendt MFA i appen. FIDO2-nøgler er den eneste MFA-metode, der blokerer denne angrebstype.
Hvad er MFA-fatigue, og hvordan forhindrer vi det?
MFA-fatigue opstår, når en angriber sender gentagne push-notifikationer, indtil brugeren godkender én. Aktivér Number Matching i Microsoft Entra ID — det kræver, at brugeren indtaster et specifikt tal, og gør blind godkendelse umulig.
Kræver NIS2 en bestemt MFA-metode?
NIS2 specificerer ikke en bestemt teknologi, men kræver “passende” adgangskontrol. ENISA fremhæver phishing-resistant MFA (FIDO2) som et kritisk kontrolpunkt. SMS-MFA vil sandsynligvis ikke bestå en audit for privilegerede konti.
Kan vi bruge FIDO2 uden at opgradere vores Microsoft-licens?
FIDO2-understøttelse i Entra ID kræver minimum Entra ID P1 (inkluderet i Microsoft 365 Business Premium). Har I en lavere plan, skal I opgradere — eller kontakt A-one Solutions for rådgivning om den rette licensmodel.
Tre skridt I kan tage i denne uge
- Auditér jeres nuværende MFA-metoder: Log ind i Microsoft Entra Admin Center → Authentication Methods. Kortlæg, hvilke brugere der stadig bruger SMS. Prioritér admin-konti.
- Aktivér Number Matching: Hvis I bruger Microsoft Authenticator, verificér at Number Matching er slået til for alle brugere. Det tager 5 minutter og lukker MFA-fatigue-hullet.
- Bestil FIDO2-nøgler til jeres admins: Start med Global Admins og IT-admins. To nøgler pr. person. Registrér dem i Entra ID, og blokér SMS som metode for disse konti.
Har I brug for hjælp til udrulningen? A-one Solutions’ driftsteam kan håndtere hele processen — fra licensoptimering til brugerudrulning.