Så säkrar du dina digitala konton — grunderna, hela vägen upp

Jag ägnade nyligen en kväll åt att gå igenom mina viktigaste digitala konton — inte för att något hade hänt, utan för att jag insåg att jag inte riktigt visste hur säkra de egentligen var. Jag hade lösenordshanterare, jag hade tvåfaktor på de flesta ställen, jag kände mig rätt trygg. Men när jag faktiskt satte mig ner och gick igenom konto för konto hittade jag saker som skrämde mig mer än jag vill erkänna.

Det här inlägget är det jag skulle vilja att någon hade sagt till mig innan jag började. Det riktar sig till dig som använder internet ungefär som alla andra — har mejl, sociala medier, kanske ett Apple- eller Google-konto, kanske en domän eller två — men inte är särskilt tekniskt intresserad. Du kommer inte bli expert av att läsa det här. Men du kommer komma ungefär nittio procent av vägen fram till att göra det genuint besvärligt för någon att ta över dina konton, vilket är ungefär lika långt man realistiskt kommer som privatperson.

Jag har försökt sortera råden i tre nivåer: grunden som alla borde göra, bra att ha för den som vill ett steg längre, och hårdvarunyckel-nivån för de konton där det verkligen betyder något. Du behöver inte göra allt. Små förbättringar är bättre än inga.

Varför det här spelar roll

De flesta föreställer sig att “bli hackad” betyder att någon knäcker ens lösenord. Det händer nästan aldrig. Det som faktiskt händer är mycket tråkigare: ett av alla de hundra företag där du har ett konto läcker sin databas, ditt lösenord finns med där, och en automatiserad bot testar samma lösenord på Gmail, Facebook, Instagram, din arbetsmejl — överallt den kan komma på. Om du återanvänder lösenord kommer ett av dessa försök lyckas. Inte om, utan när. (Svenska banker är ett välkommet undantag här — vi loggar in med BankID, inte lösenord, och det är en av de bättre sakerna med svensk digital infrastruktur.)

Det andra vanliga scenariot är att någon lurar till sig din SMS-kod. Det kan ske på flera sätt: via ett falskt inloggningsflöde, ett samtal där bedragaren ber dig läsa upp koden, eller i värsta fall genom SIM-swap där någon får kontroll över ditt mobilnummer. Det är en av de viktigaste anledningarna till att SMS är den svagaste tvåfaktormetoden. SMS är oftast bättre än ingen tvåfaktor alls, men byt till app, passkey eller säkerhetsnyckel när det går.

Det tredje är att dina konton hänger ihop i kedjor som du antagligen inte tänkt på. Ditt Apple-ID har en e-postadress som “primär”. Den e-postadressen har i sin tur ett återställningsmejl. Det återställningsmejlet ligger kanske på ett konto du skapade 2005 och knappt använder, utan tvåfaktor, med ett lösenord du hade när du gick på gymnasiet. Om någon tar det gamla kontot kan de återställa det nyare mejlet, och därifrån återställa ditt Apple-ID, och därifrån är hela din digitala tillvaro deras. Kedjan är bara så stark som den svagaste länken — och den svagaste länken är oftast ett glömt konto du inte ens tänker på.

Jag kommer återkomma till det, för det är den viktigaste lärdomen jag tog med mig.

Grunden: det här måste alla göra

En lösenordshanterare. Apples inbyggda lösenordsapp (numera bara Lösenord) räcker långt om du bor i Apple-ekosystemet. iCloud-synk över iPhone och Mac funkar sömlöst. Föredrar du någonting plattformsoberoende är 1Password eller Bitwarden två bra alternativ — Bitwarden har en mycket generös gratisversion. Det viktiga är inte vilken du väljer. Det viktiga är att du använder en och att den genererar långa, unika lösenord åt dig. Sluta hitta på egna.

Unika lösenord överallt. Lösenordshanteraren gör det där enkelt, men du måste faktiskt gå igenom och byta de gamla. De flesta moderna lösenordshanterare har en funktion som heter något i stil med “säkerhetsgenomgång” eller “Password Health” och visar vilka lösenord du återanvänder eller som förekommit i läckor. Börja med mejlen. Arbeta dig nedåt.

Tvåfaktor på allt som går — men inte via SMS. Tvåfaktor (2FA, tvåstegsverifiering, two-step) betyder att du utöver lösenord måste godkänna inloggningen via något annat: en kod från en app, en knapptryckning på en annan enhet, eller en fysisk nyckel. Slå på det överallt där du kan. Men välj, i den här ordningen:

  1. Passkey om det erbjuds (mer om det strax).
  2. Authenticator-app — Google Authenticator, Microsoft Authenticator, 1Passwords inbyggda, eller Apples inbyggda i Lösenord. Alla dessa fungerar likvärdigt.
  3. SMS endast som absolut sista utväg, och då helst inte alls.

Om en tjänst bara erbjuder SMS är det fortfarande bättre än inget — men betrakta det som en tillfällig lösning. När samma tjänst lägger till stöd för app eller passkey, byt omedelbart.

Glöm inte betaltjänster och shoppingappar. PayPal, Klarna, Amazon, eBay och liknande är inte banker, men de kan vara kopplade till kort, bankkonto, kredit, leveransadresser och köp i ditt namn. Säkra dem som om de vore ditt mejlkonto: passkey om det finns, tvåfaktor med app eller säkerhetsnyckel om det erbjuds, långt unikt lösenord, och gå igenom gamla inloggade enheter, butikssessioner och appkopplingar du inte längre använder. I många av de här apparna finns de viktigaste inställningarna i mobilappen snarare än på webben.

Återställningskoder på papper, inte i datorn. När du slår på tvåfaktor får du för det mesta erbjudande om att spara ett gäng recovery codes eller backup codes. Det är engångskoder du kan använda om du tappar telefonen. De flesta klickar bort rutan, eller sparar dem som en skärmdump på telefonen. Båda är fel. Skriv ut dem. Lägg papperet någonstans du hittar det igen men ingen annan gör — en låst låda, en mapp bland räkningarna, en pärm i bokhyllan. Om ditt hem inte är rätt plats - överväg ett förseglat kuvert hos en anhörig. Poängen är att de ska existera utanför din digitala värld, för det är där man behöver dem den dag allt annat har gått sönder.

En sak till om återställningskoder: har du sett dina koder vid något tillfälle men aldrig använt dem, är de fortfarande giltiga. Men har du för vana att bara klicka “jag har sparat dem” utan att spara dem — generera nya. På de flesta tjänster heter det “regenerate” eller “skapa nya koder”. De gamla blir då ogiltiga, och du får fräscha som du faktiskt kan spara.

Passkeys: det som gör lösenord mindre relevanta

Du har kanske stött på ordet passkey utan att riktigt förstå vad det är. I korthet: en passkey är ett lösenordslöst sätt att logga in, där din enhet (telefon, dator) håller en hemlig nyckel som bevisar vem du är utan att något lösenord någonsin skickas över nätet. Du autentiserar med Face ID, Touch ID eller pinkod, och det är det.

Det här är bättre än lösenord på i princip alla sätt. Passkeys är phishing-resistenta: de kan inte lämnas ut till en falsk webbplats på samma sätt som ett lösenord eller en engångskod, eftersom de är bundna till den riktiga webbplatsen. De kan inte heller läcka i en databas på samma sätt som lösenord (servern har ingen hemlighet att läcka), och de är oftast snabbare än att fylla i ett lösenord plus en kod.

Stora aktörer som Google, Apple, Microsoft, GitHub, PayPal och vissa banker internationellt stödjer passkeys nu. När du loggar in och får erbjudande om att “skapa en passkey” eller “använd Face ID nästa gång” — tacka ja. Din lösenordshanterare (eller Apples Lösenord) tar hand om synkningen mellan enheter så du inte behöver fundera på det.

Bra att ha: kedjan av beroenden

Det här är en viktig del av pusslet som kan vara lätt att missa. Sätt dig ner med penna och papper och rita upp en kedja: vad används för att återställa vad?

Börja med ditt viktigaste konto — för de flesta är det Apple-ID, Google-konto eller Microsoft-konto, beroende på vilken plattform du lever på. Titta under kontoinställningarsäkerhet eller motsvarande. Där finns något som heter “primär e-post”, “återställningsadress”, “alternativ e-post” eller liknande.

Skriv ner den e-postadressen. Logga sedan in på det mejlkontot och gör samma sak. Har det i sin tur ett återställningsmejl? Ett återställningstelefonnummer? Skriv ner allt.

När du ritat färdigt kedjan kommer du nästan säkert hitta något obehagligt. Ett gammalt mejl från studietiden som ligger som återställning på ditt nuvarande huvudmejl. Ett telefonnummer du inte längre använder. Ett konto som har “säkerhetsfrågor” där svaret är din mammas flicknamn och stadsdelen du växte upp i (båda finns på LinkedIn och Facebook). Ett konto med ett lösenord från 2014, utan tvåfaktor, kan i praktiken användas för att ta över alla dina andra konton.

Din säkerhetskedja är exakt så stark som det svagaste kontot i den. Och det svagaste kontot är nästan alltid det äldsta, det du glömt bort, det du använder minst.

Åtgärden är ganska enkel när du väl ser det: härda det gamla kontot lika mycket som det nya (starkt, unikt lösenord, tvåfaktor, återställningskoder på papper) — eller om du verkligen aldrig använder det, ta bort det som återställningsalternativ helt och ersätt det med något bättre. En del tjänster låter dig ha inget återställningsalternativ om du har tillräckligt med andra. Då är papperskoderna din livlina.

BankID, banker och mäklarkonton

Det här avsnittet är svensk-specifikt och värt en stund även om du hoppar över resten. För oss svenskar ligger hela den ekonomiska världen bakom BankID: banken, Avanza, Nordnet, Skatteverket, Försäkringskassan, Kivra, de flesta försäkringsbolag. BankID är alltså inte “ett av” dina säkerhetsgränser — det är i praktiken den gränsen. Det motiverar lite extra omtanke.

Telefonbedrägerier är det verkliga hotet. BankID i sig är kryptografiskt mycket starkt. Problemet är att bedragare inte behöver knäcka BankID — de behöver bara få dig att trycka “skriv under” åt dem. Typiska upplägg: någon ringer upp och säger sig vara från banken, polisen eller Microsoft, det har skett “misstänkt aktivitet” på ditt konto, du behöver “verifiera dig” genom att öppna BankID-appen och bekräfta. Det du i själva verket bekräftar är en ny kreditansökan eller en överföring som rensar kontot. Polisen uppskattade brottsvinsterna från telefonbedrägerier till hundratals miljoner kronor under 2024.

Den enklaste regeln jag har gett mig själv: innan jag trycker “skriv under” i BankID, läser jag alltid exakt vad appen säger att jag skriver under, och jag ställer tre frågor — vem ringde till vem, känner jag igen beloppet och mottagaren, och har jag själv initierat den här handlingen den senaste minuten? Om något av svaren är oklart lägger jag på, andas ut, och ringer själv tillbaka till företaget via numret från deras officiella hemsida (inte från ett sms eller från samtalshistoriken). Banken blir aldrig arg om du ringer tillbaka. Bedragaren kommer vara borta.

Rösten räcker inte längre som bevis. AI-röstkloning och deepfakes gör att ett samtal kan låta som ditt barn, din förälder eller en nära släkting även när det inte är det. Bestäm ett hemligt kodord med familjen — särskilt med barn, syskon och äldre föräldrar — som bara används vid verkliga nödlägen. Om någon ringer från ett oväntat nummer och vill att du snabbt ska skicka pengar, använda BankID eller hålla samtalet hemligt: lägg på och ring tillbaka till ett nummer du redan vet är rätt. Får du inte tag i personen, ring någon annan i familjen. En riktig nödsituation tål trettio sekunders kontroll.

Kolla vilka BankID som är utfärdade. Logga in hos din bank och leta efter BankID, e-legitimation eller säkerhet. Där kan du se och spärra BankID som banken har utfärdat åt dig. Gamla iPads i byrålådan, jobbdatorn du inte jobbar på längre, mobilen du bytte ut i fjol. Varje aktivt BankID är en giltig identitetshandling för dig. Spärra allt du inte använder aktivt.

Vet hur du spärrar BankID om telefonen försvinner. Ring banken, eller logga in på bankens webb med ett annat BankID och spärra därifrån. Skriv ner numret till bankens spärrfunktion i din telefonbok nu, innan du behöver det. Banken har den informationen lättillgänglig på sin hemsida under något i stil med “stöld eller förlust”.

Skydda BankID-appen. Appen låter dig använda Face ID eller Touch ID i stället för den sexsiffriga pinkoden — välj det. Biometri är svårare att skuldersurfa än en sifferkod.

SIM-swap, SMS och nummerflytt. SIM-swap är framför allt ett problem för konton som använder SMS-koder eller telefonnummer för återställning. Det gör ditt mobilnummer till en del av säkerhetskedjan. Ring din operatör och fråga vilka skydd de erbjuder mot obehörig nummerflytt eller ändringar av SIM/eSIM — till exempel extra identifiering, kundkod eller spärr. Namnen skiljer sig mellan operatörer, men poängen är enkel: det ska inte vara lätt för någon annan att ta över ditt nummer.

För Avanza, Nordnet och andra mäklare: gå in under säkerhet eller inställningar och kontrollera två saker. För det första att utbetalningskontot är låst — alltså att pengar bara kan tas ut till ett specifikt bankkonto i ditt namn, inte till ett godtyckligt nytt konto. Det här är den enskilt viktigaste inställningen och är oftast på som default, men det är värt att verifiera. För det andra, slå på pushnotiser eller mejl för alla inloggningar och för uttag över en viss summa. Då ser du direkt om någon loggar in från en plats som inte är du. Avanza har också en “betänketid” på ändringar av utbetalningskonto — några dygn innan ett nytt konto kan användas. Den är på som standard men värt att kolla att den inte av misstag är avstängd.

För vanliga banker: logga in och kontrollera dina dagsgränser för Swish och överföringar. De flesta banker låter dig sätta ner dem till nivåer som stämmer med hur du faktiskt lever. Behöver du inte kunna Swisha 20 000 kr på en dag? Sätt gränsen till 5 000. Du kan alltid höja den tillfälligt när du behöver, och i praktiken är det ett mycket effektivt skydd mot bedrägeriförluster — oavsett hur bedragaren får in dig i BankID-signeringen är skadan begränsad.

Hårdvarunyckel-nivån: för de få konton som verkligen räknas

Det finns en grupp konton där förlust vore katastrofal, inte bara irriterande. För de flesta är det: huvudmejlen, Apple- eller Google-kontot, och möjligen kontot där domänen för ens hemsida ligger eller där viktig företagsdata finns. För de här kontona är det värt att investera i en fysisk säkerhetsnyckel, oftast en YubiKey.

En YubiKey är en liten sak som ser ut som en USB-sticka. Du registrerar den på dina viktiga konton, och från den punkten måste någon som vill logga in som dig — även om de har ditt lösenord och kommit åt din telefon och SIM-kortet — också ha den här fysiska prylen som ligger i din ficka eller i ett kassaskåp hemma. Det är gränsen som phishing-kampanjer och databasläckor inte kommer över.

Två saker som är viktiga om du skaffar en:

Köp två. Anledningen är enkel: den ena kommer du ha med dig eller i skrivbordet, och den andra gömmer du någonstans som är svår att komma åt - ett bankfack, en låda hos en anhörig, ett brandsäkert skrin. Om den dagliga försvinner (och hårdvara försvinner ibland) är den andra din biljett tillbaka in. Registrera båda på alla dina viktiga konton från början. Gör du inte det - om du bara registrerar en och sedan tappar bort den kan du bli helt utelåst.

Läs noga vad tjänsten menar med passkey och säkerhetsnyckel. Vissa tjänster, till exempel GitHub, skiljer på “passkey” och “security key” i gränssnittet fast samma YubiKey kan användas i båda rollerna. Om tjänsten uttryckligen erbjuder båda kan det vara värt att registrera nyckeln på båda sätten. Men se det som ett tjänstespecifikt val, inte som en generell regel för alla konton.

Priset för två YubiKeys landar runt 1 000–1 500 kronor. För ett Apple-konto som håller din hela iCloud, alla foton, Find My, alla dina sparade lösenord kan det vara en god investering.

Avancerade skyddslägen: bra, men olika saker

Här är det lätt att blanda ihop två olika saker: starkare kontoinloggning och starkare kryptering av molndata.

Googles variant heter Advanced Protection Program (APP). Det är ett skyddsläge för kontot som kräver passkey eller fysisk säkerhetsnyckel, stramar åt återställning och begränsar vilka tredjepartsappar som får komma åt kontot. Det är byggt för personer som har högre risk än genomsnittet — journalister, aktivister, politiker, företagare — men är tillgängligt även för vanliga användare.

Apple har två relevanta funktioner. Security Keys for Apple Account låter dig kräva fysiska säkerhetsnycklar som en del av inloggningen till ditt Apple-konto. Advanced Data Protection (ADP) är något annat: det utökar end-to-end-krypteringen för iCloud, så att Apple själva inte kan läsa merparten av ditt iCloud-innehåll. Priset är att om du tappar alla dina enheter och dina återställningskoder och dina återställningskontakter — så kan din data vara borta för evigt. Det är en medveten avvägning.

De här lägena är värda att överväga om du har kommit så här långt i artikeln och tagit YubiKey-steget. Men slå inte på dem innan du har fungerande återställning och minst en backup-nyckel.

Sista tipset: städa bland gamla kopplingar

När jag gick igenom mina konton hittade jag över trettio appar, webbplatser och “devvertyg” som hade tillgång till mina Google- och GitHub-konton — de flesta från saker jag provat för flera år sedan och sedan glömt. Varje sådan koppling är en potentiell väg in. Gå in på säkerhetsinställningarappar med åtkomst till ditt konto eller motsvarande, och ta bort allt du inte känner igen eller använder längre. Det tar tio minuter och är en av de mest välinvesterade tio minuterna du kan lägga.

Samma sak med inloggade enheter. Alla moderna konton visar en lista på “var du är inloggad just nu”. Varje gammal telefon eller dator finns där. Logga ut allt du inte omedelbart känner igen.

Efteråt

När jag var klar kändes det inte som om jag hade blivit hackad och räddat mig i sista sekunden. Det kändes som om jag hade tvättat fönstren efter flera år: allt var plötsligt synligare och jag hade koll på saker jag tidigare bara hoppats på.

Det svåraste i hela övningen var inte tekniken. Tekniken är nästan alltid ett par menyer bort. Det svåraste var att börja, för det känns som ett stort, diffust arbete. Det är det inte. Varje konto tar tio till tjugo minuter när du väl är i rätt inställningsmeny. Du kan göra två eller tre per kväll, en vecka i rad, och när söndagen kommer är du klar. Ta gärna en AI-assistent till hjälp för att navigera krångliga menyer.

Gör det innan något händer. Det är mycket trevligare än att göra det efteråt.

Checklista — att gå igenom konto för konto

Utgå från dina viktigaste konton först: huvudmejlen, Apple-ID/Google-konto, bank, sociala medier där du har mycket innehåll. Jobba sedan utåt.

För varje konto:

  • Lösenord är långt, unikt, genererat av lösenordshanterare
  • Tvåfaktor påslagen — med passkey eller authenticator-app, inte SMS
  • SMS borttaget som verifieringsmetod (även om det finns som “reserv”)
  • Återställningskoder utskrivna och lagda på ett säkert fysiskt ställe
  • Återställningsmejl och återställningstelefon kontrollerat — pekar de på något du fortfarande använder och har härdat?
  • Lista på inloggade enheter genomgången — okända enheter utloggade
  • Lista på appar/tjänster med åtkomst genomgången — oanvända borttagna
  • Betaltjänster och shoppingkonton (PayPal, Klarna, Amazon, eBay) säkrade på samma sätt — passkey/tvåfaktor där det finns, gamla butikssessioner och appkopplingar borttagna

Extra för huvudkontona (mejl, Apple/Google, domänregistrar, arbetsmejl):

  • Två YubiKeys eller motsvarande hårdvarunycklar registrerade
  • Backup-nyckel förvarad på annan fysisk plats än den dagliga
  • Google Advanced Protection, Apple Security Keys / ADP eller motsvarande övervägt där det passar
  • Kedjan av återställningsberoenden ritad på papper och genomtänkt

BankID och finansiella konton (svenskt):

  • Kontrollerat hos banken vilka BankID som är utfärdade och spärrat gamla aktiva BankID på enheter du inte längre använder
  • Face ID / Touch ID aktiverat i BankID-appen
  • Numret till bankens spärrfunktion sparat i telefonboken
  • Dagsgränser för Swish och överföringar nedjusterade till rimliga nivåer
  • Utbetalningskonto låst hos Avanza / Nordnet / andra mäklare
  • Aviseringar på inloggningar och uttag aktiverade hos mäklare
  • Hemligt familjekodord bestämt med barn, föräldrar och nära släktingar — och vana satt att lägga på och ringa tillbaka till känt nummer vid oväntade nödsamtal

Engångssaker:

  • Lösenordshanterare installerad och i dagligt bruk
  • Gamla oanvända konton som ligger som återställningsadresser på viktiga konton — antingen hårdade eller borttagna som återställningsalternativ
  • Skydd mot obehörig nummerflytt eller SIM/eSIM-ändring kontrollerat hos mobiloperatören

Lycka till. Det här är tråkigt jobb men skönt när det är avklarat, och du kommer tacka dig själv.