SmartBloggen
>
IT-säkerhet
>
Företag

MFA och lösenordshantering för företag – guide 2026

MFA och lösenordshantering för företag – guide 2026

MFA och lösenordshantering för företag – komplett guide 2026

Multifaktorautentisering (MFA) är i dag ett av de mest kostnadseffektiva säkerhetsskydd ett företag kan införa. Enligt Microsoft blockerar MFA mer än 99,2% av alla kontokompromissattacker – ändå saknar majoriteten av svenska SME-företag en genomtänkt strategi för inloggningsskydd och lösenordshantering. Den här guiden går igenom vad MFA är, vilka metoder som ger bäst skydd, hur ni hanterar lösenord på ett säkert sätt och hur ni implementerar det hela i er organisation.

Varför lösenordet inte längre räcker som skydd

Ett lösenord är ett enda lås på en dörr med hundratals kopierade nycklar. Nätfiskeattacker, credential stuffing – automatiserade attacker med stulna lösenordsdatabaser – och handel med inloggningsuppgifter på dark web gör att ett enskilt lösenord, oavsett hur komplicerat, inte längre ger tillräckligt skydd.

Microsofts data visar att 1,2 miljoner företagskonton komprometterades varje månad under 2023. Av dessa hade 99,9% inte MFA aktiverat. Det innebär inte att MFA är en garanti mot alla attacker, men det eliminerar den överväldigande majoriteten av de metoder angripare faktiskt använder i dag.

Parallellt har lösenordsbruk i organisationer blivit ett eget säkerhetsproblem. Anställda återanvänder lösenord mellan privata och jobbkonton, delar lösenord via e-post eller chattappar och väljer enkla fraser för att komma ihåg dem. Utan ett system för lösenordshantering uppstår svaga punkter oavsett hur stark er övriga infrastruktur är.

Vad är MFA – och hur fungerar det?

MFA, eller multifaktorautentisering, innebär att en användare måste styrka sin identitet med minst två oberoende faktorer vid inloggning. De tre klasserna är något ni vet (lösenord, PIN-kod), något ni har (en telefon, en hårdvarulyckel) och något ni är (fingeravtryck, ansiktsigenkänning).

Kombinationen av två eller fler klasser gör det exponentiellt svårare för en angripare att ta över ett konto – stöld av ett lösenord ensamt räcker inte längre.

Autentiseringsappar och TOTP

Den vanligaste MFA-metoden för företag är tidsbegränsade engångskoder, så kallade TOTP (Time-based One-Time Passwords), som genereras i en autentiseringsapp som Microsoft Authenticator eller Google Authenticator. Koden är giltig i 30 sekunder och genereras lokalt på enheten utan internetuppkoppling. TOTP fungerar med de flesta molnapplikationer, VPN-lösningar och webbtjänster som stöder standard-MFA.

Hårdvarunycklar och passkeys

Hårdvarunycklar baserade på FIDO2-standarden, till exempel YubiKey, och den nyare standarden passkeys som är inbyggd i moderna operativsystem, erbjuder det starkaste skyddet mot nätfiske. Autentiseringen är kryptografiskt bunden till den specifika webbplatsen, vilket gör det praktiskt taget omöjligt att lura en anställd att lämna ifrån sig sina uppgifter via en falsk inloggningssida – till skillnad från TOTP-koder som kan fångas upp i realtid av avancerade attacker.

FIDO2-nycklar rekommenderas för administratörskonton, ekonomipersonal och roller med tillgång till känsliga system.

SMS som MFA – och varför det är det svagaste alternativet

SMS-verifiering är bättre än inget alls, men det är det svagaste MFA-alternativet. SIM-swapping-attacker – där en angripare övertalar en mobiloperatör att flytta ett telefonnummer till ett nytt SIM-kort – gör det möjligt att kringgå SMS-baserad MFA. Om ni i dag använder SMS som enda MFA-metod är nästa steg att migrera till en autentiseringsapp eller en hårdvarulösning.

Lösenordshantering – grunden som organisationer förbiser

MFA skyddar inloggningsprocessen, men det förutsätter att lösenordet som används är unikt och inte röjt i en tredjepartsdatabas. Det är här lösenordshanteraren spelar in.

En lösenordshanterare är ett krypterat valv som genererar, lagrar och automatiskt fyller i unika komplexa lösenord för varje tjänst. De anställda behöver bara komma ihåg ett enda huvudlösenord – allt annat sköts av verktyget.

Lösenordshanterare för team

För företagsanvändning finns dedikerade teamlösningar som 1Password Business, Bitwarden Teams och Keeper Security. Dessa ger IT-avdelningen central synlighet, möjlighet att tilldela och återkalla åtkomst och en revisionslogg över vem som använt vilka uppgifter och när. Priset ligger typiskt på 400–900 kr per anställd och år beroende på verktyg och avtalsnivå.

Jämfört med genomsnittskostnaden för ett dataintrång – 3,6 miljoner kr för svenska SME-företag – är investeringen marginell.

Lösenordspolicy som håller i praktiken

En modern lösenordspolicy ser annorlunda ut än den traditionella modellen med tvingade byten var 90:e dag. NIST (National Institute of Standards and Technology), den amerikanska standardmyndigheten för IT-säkerhet, rekommenderar numera lösenord på minst 12–16 tecken där längd prioriteras framför komplexitet, tvingat byte bara vid misstänkt röjning – inte på rutin – blockering av kända läckta lösenord via databaser som Have I Been Pwned och krav på unikhet per tjänst.

Dessa principer är markant lättare att följa när de anställda har en lösenordshanterare till hands. Det är just kombinationen av lösenordshanterare och MFA som ger starkast skydd.

Single Sign-On (SSO) – ett inlogg, full kontroll

Single Sign-On (SSO) innebär att anställda loggar in en gång mot en central identitetsleverantör – exempelvis Microsoft Entra ID (tidigare Azure AD), Okta eller Google Workspace – och sedan automatiskt är autentiserade i alla anslutna system.

SSO löser ett centralt problem i organisationer med många molntjänster: lösenordströtthet. När en anställd behöver logga in på femton olika verktyg varje dag ökar sannolikheten för svaga eller återanvända lösenord markant. Med SSO loggar de in en gång – med MFA – och är sedan igång i alla system utan ytterligare friktion.

En annan fördel är offboarding. När en anställd slutar räcker det att inaktivera deras konto hos identitetsleverantören för att ta bort åtkomsten till samtliga anslutna system på en gång, i stället för att manuellt gå igenom tjugo olika tjänster.

Så implementerar ni MFA – steg för steg

En strukturerad MFA-utrullning behöver inte vara ett stort projekt.

Steg 1: Inventera konton och system. Vilka molntjänster, VPN-er och interna system används? Vilka konton har administratörsbehörighet? Börja där – administratörskonton är primärmålet vid kontoövertaganden.

Steg 2: Välj MFA-metod. För de flesta SME-företag räcker en autentiseringsapp som Microsoft Authenticator. För administratörskonton och finansiella system, utvärdera FIDO2-nycklar.

Steg 3: Pilottesta med en liten grupp. Börja med IT-avdelningen eller frivilliga testanvändare för att fånga upp problem i inloggningsflödet innan ni rullar ut till hela organisationen.

Steg 4: Utbilda personalen. Förklara varför MFA införs, hur appen fungerar och vad de ska göra om de tappar sin enhet. En enkel intern instruktion räcker långt.

Steg 5: Tvinga MFA via policy. I Microsoft Entra ID, Google Workspace och de flesta identitetsleverantörer kan ni tvinga fram MFA via villkorsstyrd åtkomst. Se till att inga undantag skapas utan godkänd process.

Steg 6: Planera för bortglömda enheter. Ha en tydlig process för hur anställda återfår åtkomst om de tappar sin autentiseringsapp eller nyckel – utan att processen i sig blir en säkerhetslucka.

MFA, NIS2 och regulatoriska krav

NIS2-direktivet, som trädde i kraft i Sverige via cybersäkerhetslagen under 2025, ställer krav på att organisationer inom kritisk och viktig sektor implementerar riskbaserade säkerhetsåtgärder. Starka autentiseringsmetoder, inklusive MFA, räknas explicit som en del av dessa åtgärder.

Även GDPR ställer krav på lämpliga tekniska skyddsåtgärder för personuppgifter. Kan en tillsynsmyndighet konstatera att ett dataintrång skett på grund av avsaknad av MFA på ett administratörskonto kan det leda till anmärkningar och i värsta fall sanktionsavgifter.

Sedan 2025 kräver Microsoft dessutom MFA obligatoriskt för inloggning till Azure-portalen och Microsoft 365 Admin Center. Har ni inte MFA aktiverat riskerar ni driftstörningar i era Microsoft-tjänster.

Vad kostar det att inte ha MFA?

Statistiken är tydlig. IT-driftstopp till följd av ett dataintrång kostar svenska företag i snitt 6 716 kr per minut. Ett intrång som leder till 24 timmars driftstopp innebär en kostnad på över 9,6 miljoner kr – enbart i produktionsbortfall, utan juridiska kostnader, skadeståndsanspråk eller ryktespåverkan.

En autentiseringsapp är gratis. FIDO2-nycklar kostar 300–600 kr per anställd som ett engångsköp. En lösenordshanterare för hela organisationen kostar 400–900 kr per person och år. Det är en investering som betalar sig om den förhindrar ett enda allvarligt intrång – och med statistiken i ryggen är det en fråga om när, inte om.

Vanliga frågor om lösenordshantering

Vad är skillnaden mellan tvåfaktorsautentisering och MFA?

Tvåfaktorsautentisering (2FA) är en delmängd av MFA och kräver exakt två faktorer. MFA kräver minst två faktorer men kan kräva fler. I dagligt tal används begreppen synonymt, och skillnaden är oftast akademisk i SME-sammanhang.

Fungerar MFA mot nätfiske?

Standardbaserad MFA som TOTP-appar minskar risken markant men är inte helt nätfiskesäker – avancerade attacker kan i realtid vidarebefordra engångskoder till angriparen. Passkeys och FIDO2-nycklar är konstruerade för att vara helt resistenta mot nätfiske, eftersom autentiseringen är kryptografiskt bunden till rätt domän och inte kan fångas upp av en mellanhand.

Hur hanterar vi MFA om en anställd tappar sin telefon?

Ha en dokumenterad återställningsprocess. Det kan innebära backup-koder lagrade säkert, en alternativ autentiseringsmetod registrerad i förväg eller en IT-administratör som verifierar identiteten manuellt via godkänd process. Se till att processen varken är för enkel – en säkerhetslucka – eller för omständlig, eftersom anställda annars hittar egna lösningar.

Måste alla anställda ha MFA, eller räcker det med administratörerna?

Börja med administratörskonton och system med känslig data, men sträva efter att täcka samtliga anställda. Angripare riktar sig ofta mot vanliga användarkonton just för att de kan vara svagare skyddade. Ett komprometterat säljarkonto kan användas som språngbräda för att nå känsligare system internt.

Vad är passkeys och ska vi använda det?

Passkeys är en lösenordsfri autentiseringsstandard som ersätter lösenordet med en kryptografisk nyckel lagrad på enheten, kombinerat med biometrisk verifiering som fingeravtryck eller Face ID. Det ger stärkt säkerhet och bättre användarupplevelse. Stödet från tjänsteleverantörer växer snabbt och det är värt att utvärdera inför planerade systembyten eller licensuppgraderingar.

Bli kontaktad

Bli kontaktad eller ring
077-446 60 60 så hjälper vi dig! 

Multifaktorautentisering (MFA) är i dag ett av de mest kostnadseffektiva säkerhetsskydd ett företag kan införa. Enligt Microsoft blockerar MFA mer än 99,2% av alla kontokompromissattacker – ändå saknar majoriteten av svenska SME-företag en genomtänkt strategi för inloggningsskydd och lösenordshantering. Den här guiden går igenom vad MFA är, vilka metoder som ger bäst skydd, hur ni hanterar lösenord på ett säkert sätt och hur ni implementerar det hela i er organisation.

Multifaktorautentisering (MFA) är i dag ett av de mest kostnadseffektiva säkerhetsskydd ett företag kan införa. Enligt Microsoft blockerar MFA mer än 99,2% av alla kontokompromissattacker – ändå saknar majoriteten av svenska SME-företag en genomtänkt strategi för inloggningsskydd och lösenordshantering. Den här guiden går igenom vad MFA är, vilka metoder som ger bäst skydd, hur ni hanterar lösenord på ett säkert sätt och hur ni implementerar det hela i er organisation.

Etiketter: 
No items found.
Publicerat
2026-06-29

Fler inlägg om

IT-säkerhet

Digitalisera kontoret 2026 – checklista för SME

Digitalisera kontoret 2026 – checklista för SME

För svenska SME-företag (10–250 anställda) är frågan inte längre om man ska digitalisera, utan hur långt man kommit jämfört med konkurrenter, kunder och de medarbetare man försöker rekrytera. Den här guiden ger en konkret checklista i sju steg: från nätverk och identitet till mötesrum, dokumenthantering, säkerhet, automation och en supportmodell som håller över tid.

Läs vidare
IT-incidenthantering – guide för företag vid cyberangrepp

IT-incidenthantering – guide för företag vid cyberangrepp

En ransomware-attack drabbar varje vecka svenska företag – och 63% av drabbade organisationer i Europa saknar en plan för alternativ infrastruktur när systemen slås ut. IT-driftstopp kostar svenska företag i snitt 6 716 kr per minut. Varje timme utan en tydlig handlingsplan kostar därmed över 400 000 kr i produktionsbortfall – och det är innan juridiska kostnader, GDPR-böter och ryktespåverkan räknats in. Den här guiden går igenom vad ni konkret gör, steg för steg, från det att ni misstänker ett angrepp till dess att verksamheten är återställd.

Läs vidare
Digitala skärmar, självscanning och kund-WiFi – teknikkrav i modern retail

Digitala skärmar, självscanning och kund-WiFi – teknikkrav i modern retail

‍Butiken är inte längre enbart en plats för varuexponering. Den är en teknikmiljö – och den teknik kunderna möter direkt påverkar om de stannar längre, köper mer och kommer tillbaka. Digital signage, självscanning och kund-WiFi är tre teknologier som blivit standard i välskötta butiksformat, och de ställer gemensamma krav på infrastrukturen under.

Läs vidare