Tvåfaktorsautentisering (2FA) – eller tvåstegsverifiering – är en metod för identitetskontroll som innebär att användaren måste presentera två separata bevis för att styrka sin identitet. När 2FA används för inloggning blir det mycket svårare för obehöriga att få tillgång till enheter och digitala tjänster än när bara en faktor, oftast ett lösenord, används.
En mängd olika saker kan användas som bevis (autentiseringsfaktorer), och faktorerna brukar delas in i följande tre huvudkategorier:
- Kunskapsfaktorer. Något användaren vet, såsom ett lösenord, en PIN-kod eller en delad hemlighet.
- Ägandefaktorer. Något användaren har, såsom en mobiltelefon, ett smart kort eller en säkerhetsdosa för engångslösenord (one-time password, OTP).
- Varandefaktorer (biometri). Något användaren är, såsom ett fingeravtryck, en röst eller ett ansikte.
Tvåfaktorsautentisering kan bestå av en valfri kombination av faktorer, till exempel mobiltelefon och fingeravtryck, eller smart kort och PIN-kod.
2FA utan lösenord är när ingen av de två faktorerna är ett lösenord. Exempel på produkter och tjänster som möjliggör 2FA utan lösenord är:
- Mjukvaran Nexus Hybrid Access Gateway och mobilappen Nexus Personal Mobile, som låter användarna autentisera sig med hjälp av en app på sin mobiltelefon och sitt fingeravtryck.
- Molntjänsten Nexus GO Authentication med svenskt mobilt BankID, som låter användarna autentisera sig med hjälp av en app på sin mobiltelefon och sitt fingeravtryck.
2FA-metoder där en av faktorerna är ett lösenord eller en PIN-kod är också mycket säkrare än autentisering med endast användarnamn och ett statiskt lösenord. Exempel på produkter som gör det möjligt 2FA med lösenord eller PIN-koder är:
- Nexus Hybrid Access Gateway, läsare för smarta kort samt smarta kort, som låter användarna autentisera sig genom att sätta in ett smart kort i en läsare och ange sin PIN.
- Nexus Hybrid Access Gateway och en säkerhetsdosa för engångslösenord (one-time password, OTP), som låter användarna autentisera sig genom att ange ett statiskt lösenord och ett engångslösenord.
2FA bör helst användas tillsammans med samlad inloggning (single-sign on, SSO), vilket innebär att en användare loggar in endast en gång för att få tillgång till en rad oberoende system. SSO är särskilt rekommenderat vid användning av 2FA-metoder som inkluderar engångslösenord, eftersom det är obekvämt för användaren att ange ett nytt engångslösenord för varje enskild tjänst.