Hvad er forskellen på 2FA og MFA?

2FA er to faktorer; MFA er to eller flere. I praksis bruges ordene i flæng — det vigtige er, at faktorerne er af forskellig type, ikke to adgangskoder.

Hvad er MFA-træthed (MFA fatigue)?

En angriber med en stjålet kode udløser push-godkendelser igen og igen — ofte om natten — indtil brugeren trykker godkend for at få fred. Forsvaret er nummermatching, begrænsning af forsøg og træning: en godkendelsesanmodning, du ikke selv har udløst, er et angreb i gang og skal rapporteres.

Hvad gør vi, når en medarbejder mister sin telefon eller nøgle?

Hav en sikker gendannelsesproces på plads på forhånd: reservekoder opbevaret forsvarligt, en ekstra registreret hardwarenøgle, og en helpdesk-procedure der verificerer identitet — gendannelsesflowet er ellers angriberens yndlingsbagdør.

Er passkeys det samme som MFA?

En passkey er én faktor, men en stærk én: Den er bundet kryptografisk til enheden og det ægte domæne og typisk beskyttet af biometri eller PIN. I praksis giver passkeys phishing-resistent login, der både er sikrere og hurtigere end kode + engangskode.

Viden

Hvad er MFA — og hvorfor er det jeres vigtigste enkelttiltag?

Multifaktor-autentificering (MFA, også kaldet totrinsbekræftelse eller 2FA) betyder, at et login kræver mere end blot en adgangskode — typisk noget du ved (koden) kombineret med noget du har (en telefon eller hardwarenøgle) eller noget du er (biometri). MFA gør stjålne og franarrede adgangskoder næsten værdiløse og er det enkelttiltag, der stopper flest kontoovertagelser i forhold til indsatsen.

Udgivet: 13. juni 2026Opdateret: 13. juni 2026Læsetid: 5 min.

Hvorfor er en adgangskode ikke nok?

Adgangskoder lækkes, genbruges og franarres. Milliarder af loginoplysninger fra tidligere datalæk handles frit, og phishing er designet til at høste flere. Når samme kode oven i købet bruges flere steder, åbner ét læk mange døre. MFA bryder kæden: Selv med den rigtige kode mangler angriberen den anden faktor.

Det er også derfor, MFA optræder som krav i stort set alle leverandørspørgeskemaer, cyberforsikringer og NIS2-relaterede kontrolkataloger — det er billigt, veldokumenteret og effektivt.

Hvilke typer MFA findes der — og hvad er bedst?

Ikke alle faktorer er lige stærke. Fra svagest til stærkest:

SMS-koder: Bedre end ingenting, men sårbare over for SIM-swapping og aflytning. Brug kun, hvor intet andet tilbydes.
Autenticator-apps (TOTP): Tidsbaserede engangskoder fra en app. Et solidt mellemniveau — men koden kan stadig phishes på en falsk loginside.
Push-godkendelse: Bekvemt, men sårbart over for MFA-træthed (se FAQ). Nummermatching, hvor man indtaster et tal fra loginskærmen, reducerer risikoen.
FIDO2/passkeys og hardwarenøgler: Kryptografisk binding til det rigtige domæne gør dem phishing-resistente — en falsk loginside kan ikke høste noget. Guldstandarden, især til administratorer og økonomifunktioner.

Hvor skal MFA slås til først?

Prioritér efter konsekvens ved kompromittering:

Alt internetvendt: Mail (Microsoft 365/Google Workspace), VPN og fjernadgang — de hyppigste indgange til både ransomware og CEO-fraud.
Administratorkonti: Globale admins, domæneadgang, hostingpaneler og DNS. Her bør faktoren være phishing-resistent.
Økonomi- og lønsystemer samt netbank.
Resten af organisationen — gerne med passkeys, der samtidig er nemmere i hverdagen end koder.

Husk også at lukke bagdørene: Legacy-protokoller (fx IMAP/POP med basic auth) kan omgå MFA helt og skal deaktiveres.

Hvad er begrænsningerne ved MFA?

MFA er ikke usårligt. Angribere bruger realtids-phishingproxyer, der videresender både kode og engangskode (adversary-in-the-middle), stjæler session-cookies efter et gennemført login, eller bombarderer brugere med push-anmodninger, til nogen trykker godkend. Konsekvensen er ikke at droppe MFA, men at vælge phishing-resistente faktorer til de vigtigste konti, overvåge unormale logins — og kombinere MFA med adgangsstyring og detektion.

Ofte stillede spørgsmål

Hvad er forskellen på 2FA og MFA?
2FA er to faktorer; MFA er to eller flere. I praksis bruges ordene i flæng — det vigtige er, at faktorerne er af forskellig type, ikke to adgangskoder.
Hvad er MFA-træthed (MFA fatigue)?
En angriber med en stjålet kode udløser push-godkendelser igen og igen — ofte om natten — indtil brugeren trykker godkend for at få fred. Forsvaret er nummermatching, begrænsning af forsøg og træning: en godkendelsesanmodning, du ikke selv har udløst, er et angreb i gang og skal rapporteres.
Hvad gør vi, når en medarbejder mister sin telefon eller nøgle?
Hav en sikker gendannelsesproces på plads på forhånd: reservekoder opbevaret forsvarligt, en ekstra registreret hardwarenøgle, og en helpdesk-procedure der verificerer identitet — gendannelsesflowet er ellers angriberens yndlingsbagdør.
Er passkeys det samme som MFA?
En passkey er én faktor, men en stærk én: Den er bundet kryptografisk til enheden og det ægte domæne og typisk beskyttet af biometri eller PIN. I praksis giver passkeys phishing-resistent login, der både er sikrere og hurtigere end kode + engangskode.

Kilder

FIDO Alliance: FIDO2/WebAuthn-specifikationer

NIST SP 800-63B: Digital Identity Guidelines (autentificeringsniveauer)

Styrelsen for Samfundssikkerhed: vejledning om implementering af cybersikkerhedsforanstaltninger (samsik.dk)

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.

Book en afklaringssamtale Se relateret ydelse

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.