← Til baka í fræðslu
Tæknilegt 3. febrúar 2026

Tvíþátta auðkenning: Heildarleiðbeiningar 2026

Hvað er tvíþátta auðkenning, hvers vegna skiptir hún máli og hvernig setur þú hana upp á öllum samfélagsmiðlum? Allt útskýrt skref fyrir skref á íslensku.

Hvað er tvíþátta auðkenning?

Tvíþátta auðkenning (e. two-factor authentication, 2FA) er öryggisaðferð sem krefst tveggja aðskildra staðfestinga þegar þú skráir þig inn á reikning. Í stað þess að reiða sig eingöngu á lykilorð bætir hún við öðru lagi af vernd – kóða úr síma, auðkenningarappi eða öryggislykli.

Hugsaðu um það svona: lykilorðið þitt er lásinn á hurðinni, en tvíþátta auðkenningin er öryggiskeðjan. Jafnvel þótt einhver nái að afrita lykilinn kemst hann ekki inn án keðjunnar.

Þetta er ein áhrifaríkasta aðgerðin sem þú getur gripið til – og hún tekur aðeins nokkrar mínútur að setja upp.

Hvers vegna skiptir tvíþátta auðkenning máli?

Tölur segja söguna best. Samkvæmt rannsóknum Microsoft kemur tvíþátta auðkenning í veg fyrir yfir 99% af sjálfvirkum innbrotsárásum á reikninga. Google hefur sýnt fram á að jafnvel einföld SMS-auðkenning stöðvar 96% af fjöldaveiðiárásum (e. bulk phishing attacks) og 100% af sjálfvirkum árásabotum (e. automated bots).

Á Íslandi hefur vefveiðum (e. phishing) fjölgað verulega undanfarin ár. Efnishöfundar og lítil fyrirtæki eru sérstaklega í hættu vegna þess að reikningar þeirra hafa oft mikið gildi – bæði fjárhagslegt og orðsporstengt. Tvíþátta auðkenning er besta vörnin gegn þessu.

Ráð frá Vörðu: Ef þú gerir aðeins eina öryggisaðgerð í dag – kveiktu á tvíþátta auðkenningu á tölvupóstreikningnum þínum. Hann er lykillinn að öllum öðrum reikningunum þínum vegna endurstillingarferla.

Tegundir tvíþátta auðkenningar

Ekki allar tvíþátta auðkenningaraðferðir eru jafn öruggar. Hér eru helstu tegundirnar, raðaðar frá veikustu til sterkustu.

1. SMS-kóðar – veikust

SMS-auðkenning sendir einskiptiskóða (e. one-time code) í textaskilaboðum á símanúmerið þitt. Þetta er betri kostur en ekkert, en er veikasta form tvíþátta auðkenningar.

Ástæðan er SIM-skipti árás (e. SIM swap attack). Þar hringir árásaraðili í símafyrirtækið þitt, þykist vera þú og fær símanúmerið þitt flutt á nýtt SIM-kort. Þá fær hann alla SMS-kóða sem ætlaðir eru þér. Þetta er raunverulegt vandamál sem hefur átt sér stað á Íslandi.

Mikilvægt: Ef þú notar SMS-auðkenningu enn – það er samt miklu betra en ekkert. En við hvetjum þig til að uppfæra í auðkenningarapp um leið og þú getur.

2. Auðkenningarapp (e. authenticator app) – ráðlagt

Auðkenningarapp býr til tímabundna kóða (e. time-based one-time password, TOTP) sem endurnýjast á 30 sekúndna fresti. Kóðinn er eingöngu á tækinu þínu og fer ekki um símakerfi, sem þýðir að SIM-skipti árásum er ekki hægt að beita.

Vinsælustu valkostirnir eru:

  • Google Authenticator – einfalt og ókeypis, fáanlegt á iOS og Android
  • Microsoft Authenticator – styður öryggisafrit (e. backup) á ský, gott fyrir þá sem nota Microsoft þjónustur
  • Authy – styður samstillingu á milli tækja og öryggisafrit

Þetta er sú aðferð sem Varða mælir með fyrir flesta. Hún sameinar sterkt öryggi og einfaldleika í notkun.

Ráð frá Vörðu: Veldu auðkenningarapp sem styður öryggisafrit á ský (eins og Microsoft Authenticator eða Authy). Þá missir þú ekki alla kóðana ef síminn þinn bilar eða týnist.

3. Öryggislykill (e. hardware security key) – sterkust

Öryggislykill er líkamlegt tæki (e. physical device) sem þú tengir við tölvuna eða snertilesur með símanum. Þekktust eru YubiKey og Google Titan. Enginn kóði til að stela – þú verður líkamlega að hafa lyklana til að skrá þig inn.

Þessi aðferð er næstum ómöguleg að ráðast á úr fjarlægð. Hún er tilvalin fyrir þá sem vilja hámarksvernd, sérstaklega stjórnendur, efnishöfundur með stóra reikninga og alla sem vinna með viðkvæmar upplýsingar.

Gallinn er kostnaðurinn (lyklar kosta venjulega 5.000–15.000 kr.) og að ekki allir vefir styðja þá enn. En ef þú vilt hæsta stig öryggis er þetta leiðin.

4. Varakóðar (e. backup codes) – neyðarvörn

Þegar þú setur upp tvíþátta auðkenningu fáðu venjulega 8–10 varakóða. Þessir kóðar eru eins konar neyðarlyklar sem gera þér kleift að skrá þig inn ef þú tapar aðgangi að auðkenningarappinu eða öryggislyklinum.

Mikilvægt: Varakóðarnir eru eina leiðin þín inn ef síminn brotnar, týnist eða er stolið. Geymdu þá á öruggum stað – prentaðir út og geymdir heima, eða í lykilorðastjóra. Aldrei geyma þá eingöngu á símanum sjálfum.

Skref-fyrir-skref: Setja upp tvíþátta auðkenningu á samfélagsmiðlum

Hér eru nákvæmar leiðbeiningar fyrir hvern vettvang. Við mælum alltaf með auðkenningarappi þar sem hægt er.

Instagram

1

Opnaðu öryggisstillingarnar

Opnaðu Instagram appið → Prófílmyndin þín (neðst til hægri) → ☰ valmynd (efst til hægri) → Stillingar og persónuverndReikningsmiðstöðLykilorð og öryggiTvíþátta auðkenning.

2

Veldu auðkenningarapp

Veldu Auðkenningarapp (e. Authentication app) sem aðferð. Instagram mun sýna þér QR-kóða. Opnaðu Google Authenticator eða Microsoft Authenticator á símanum þínum og skannaðu kóðann.

3

Staðfestu og geymdu varakóða

Sláðu inn staðfestingarkóðann úr appinu. Instagram sýnir þér varakóða – skjáskotaðu þá eða skrifaðu niður og geymdu á öruggum stað.

TikTok

1

Opnaðu öryggisstillingarnar

Opnaðu TikTok → Prófíll → ☰ valmynd (efst til hægri) → Stillingar og persónuverndÖryggi og innskráningTveggja þrepa staðfesting (e. 2-step verification).

2

Kveiktu á staðfestingu

Veldu Auðkenningarapp sem aðalaðferð. TikTok sýnir QR-kóða sem þú skannar með auðkenningarappinu. Þú getur líka bætt við tölvupóst sem varaaðferð.

3

Staðfestu

Sláðu inn kóðann úr auðkenningarappinu til að ljúka uppsetningunni. Geymdu varakóðana ef TikTok býður þá upp – þeir eru neyðarlykillinn þinn.

Facebook

1

Opnaðu öryggisstillingarnar

Opnaðu Facebook → ☰ valmynd → Stillingar og persónuverndStillingarReikningsmiðstöðLykilorð og öryggiTvíþátta auðkenning.

2

Veldu aðferð

Veldu Auðkenningarapp. Facebook sýnir QR-kóða – skannaðu hann með Google Authenticator eða Microsoft Authenticator. Forðastu SMS-valkostinn ef þú getur.

3

Staðfestu og vistaðu varakóða

Sláðu inn staðfestingarkóðann. Smelltu síðan á Varakóðar (e. Recovery codes) til að sjá og geyma þá á öruggum stað.

YouTube / Google reikningurinn

1

Farðu á Google reikninginn þinn

Opnaðu vafrann og farðu á myaccount.google.comÖryggi (e. Security) → Tveggja þrepa staðfesting (e. 2-Step Verification) → Smelltu á Byrja.

2

Settu upp auðkenningarapp

Google býður upp á fleiri valkosti en flestir aðrir. Veldu Authenticator app og skannaðu QR-kóðann. Þú getur líka sett upp Google örvun (e. Google prompts) sem annan valkost – þá birtist tilkynning á símanum þínum sem þú samþykkir.

3

Búðu til varakóða

Á 2-Step Verification síðunni, skrollaðu niður og smelltu á Varakóðar (e. Backup codes). Prentaðu þá út eða vistaðu í lykilorðastjóra. Google gefur þér 10 kóða sem hver má nota einu sinni.

Ráð frá Vörðu: Google reikningurinn þinn verndar YouTube, Gmail, Google Drive og allt annað frá Google. Með tvíþátta auðkenningu á honum verndaru allt í einu.

X (áður Twitter)

1

Opnaðu öryggisstillingarnar

Opnaðu X appið eða vefsíðuna → Stillingar og persónuvernd (e. Settings and Privacy) → Öryggi og reikningsaðgangur (e. Security and account access) → ÖryggiTvíþátta auðkenning.

2

Veldu auðkenningarapp

Veldu Auðkenningarapp (e. Authentication app). X sýnir QR-kóða sem þú skannar. Athugaðu að SMS-valkosturinn á X er eingöngu í boði fyrir áskrifendur X Premium.

3

Staðfestu og geymdu varakóða

Sláðu inn staðfestingarkóðann. X sýnir þér einn varakóða – geymdu hann vandlega, þetta er eini varakóðinn sem þú færð.

Mikilvægt: X gefur aðeins einn varakóða, ekki 10 eins og flestir aðrir vettvangar. Missir þú hann og missir aðgang að auðkenningarappinu getur verið mjög erfitt að endurheimta reikninginn. Geymdu þennan kóða sérstaklega vel.

Varakóðar: Af hverju þeir skipta öllu máli

Varakóðar (e. backup codes) eru einna mikilvægasti hluti tvíþátta auðkenningarinnar sem flestir gleyma. Þetta eru einskiptiskóðar sem þú getur notað til að skrá þig inn þegar þú hefur ekki aðgang að auðkenningarappinu – til dæmis ef síminn brotnar, týnist eða er stolið.

Án varakóða og án aðgangs að auðkenningarappinu getur þú verið algjörlega læstur úti af eigin reikningum. Endurheimtarferlið getur tekið vikur eða jafnvel mánuði – og á sumum vettvangi er enginn möguleiki á endurheimtun.

Hvernig á að geyma varakóða á öruggan hátt:

  • Prentaðu þá út og geymdu á öruggum stað heima (ekki í veskinu)
  • Vistaðu þá í lykilorðastjóra (e. password manager) eins og Bitwarden eða 1Password
  • Hafðu þá á tveimur stöðum ef hægt er – bæði stafrænt og á pappír
  • Aldrei senda varakóða í tölvupósti eða skilaboðum til sjálfs þín

Algengar villur með tvíþátta auðkenningu

Jafnvel þeir sem setja upp tvíþátta auðkenningu gera stundum mistök sem draga úr virkni hennar. Hér eru þau algengustu:

  • Gleyma að geyma varakóða – Þetta er algengasta villan. Fólk setur upp tvíþátta auðkenningu og hunsar varakóðana alveg. Þegar síminn bilar er það útilokað.
  • Nota SMS þegar auðkenningarapp er í boði – SMS er betri en ekkert, en auðkenningarapp er mun öruggara. Uppfærðu þegar þú getur.
  • Aðeins setja upp á einum vettvangi – Tvíþátta auðkenning á Instagram nýtist ekkert ef árásaraðilinn kemst inn á tölvupóstreikninginn þinn og endurstillir lykilorðið þaðan. Settu upp á öllum reikningum.
  • Deila kóðum með öðrum – Auðkenningarkóðar eru persónulegir. Enginn raunverulegur þjónustuaðili biður þig nokkurn tíma um kóðann þinn.
  • Geyma varakóða á símanum einum – Ef síminn týnist eða bilar tapar þú bæði auðkenningarappinu og varakóðunum. Geymdu varakóða annars staðar.
  • Nota auðkenningarapp án öryggisafrits – Sum auðkenningaröpp (eins og Google Authenticator) höfðu lengi ekkert öryggisafrit. Gakktu úr skugga um að appið þitt styðji öryggisafrit á ský, eða skráðu lyklana handvirkt.

Ráð frá Vörðu: Settu þér dagatalsaminningu á hálfs árs fresti til að yfirfara tvíþátta auðkenningu á öllum reikningum. Athugaðu hvort varakóðar séu enn aðgengilegir og hvort einhverjir nýir reikningar þurfa vernd.

Gátlisti: Tvíþátta auðkenning á öllum vettvangi

Prentaðu þennan gátlista út eða vistaðu hann og farðu yfir hvern lið:

  • Tvíþátta auðkenning virk á tölvupóstreikningnum (Google, Outlook o.þ.h.)
  • Tvíþátta auðkenning virk á Instagram með auðkenningarappi
  • Tvíþátta auðkenning virk á TikTok
  • Tvíþátta auðkenning virk á Facebook
  • Tvíþátta auðkenning virk á YouTube / Google reikningi
  • Tvíþátta auðkenning virk á X (Twitter)
  • Auðkenningarapp notað í stað SMS þar sem hægt er
  • Varakóðar geymdir á öruggum stað (ekki á símanum einum)
  • Varakóðar á tveimur stöðum (stafrænt og á pappír)
  • Auðkenningarapp styður öryggisafrit á ský
  • Dagatalsaminningu sett á hálfs árs fresti til yfirferðar

Viltu meiri vernd?

Tvíþátta auðkenning er eitt mikilvægasta skrefið sem þú getur tekið, en það er meira sem þú getur gert. Lykilorðastjóri hjálpar þér að halda utan um öll lykilorðin þín, og reglulegar öryggisyfirferðir tryggja að þú sért alltaf í stakk búin(n). Ef þú vilt fulla vernd, skoðaðu öryggispakka Varða eða bókaðu ráðgjöf þar sem við förum yfir allt saman.

Tengdar greinar

📱
Leiðbeiningar

5 skref til að verja Instagram reikninginn þinn í dag

1. mars 2026
🔑
Tæknilegt

Lykilorðastjóri: Hvers vegna þú þarft einn og hvernig þú velur

Væntanlegt
Verndaðu þig

Viltu fá ítarlegri leiðbeiningar?

Öryggispakkar Varða innihalda skref-fyrir-skref leiðbeiningar, gátlista og myndbandsfræðslu á íslensku.

Skoða pakka Bóka ráðgjöf