SMS OTP er et mærkeligt teknologisk mellemstadie. På den ene side har sikkerhedsdebatten i flere år bevæget sig mod stærkere metoder som passkeys, authenticator-apps og hardwarebaserede løsninger. På den anden side bliver login-koder via sms stadig brugt i stor stil af virksomheder til alt fra konto-login og transaktionsbekræftelser til onboarding og adgangskontrol. Det er ikke en tilfældighed. Det er et udtryk for, at autentifikation i praksis sjældent vælges ud fra idealer alene, men ud fra en afvejning mellem sikkerhed, tilgængelighed, brugeradfærd og driftskrav.
Det er også derfor, sms-baserede engangskoder ikke bare er blevet udfaset, selv om de ofte kritiseres. NISTs nyeste retningslinjer anerkender fortsat out-of-band-koder sendt via det offentlige telefonnet, men understreger samtidig, at denne metode ikke er phishing-resistent og kun bør bruges under bestemte betingelser. OWASP beskriver tilsvarende sms som en metode med klare praktiske fordele, men også med velkendte svagheder. Med andre ord: sms-OTP er hverken “død” eller “den rigtige løsning” i alle tilfælde. Den lever videre, fordi mange virksomheder stadig har brug for en metode, der er bredt tilgængelig og let at rulle ud.
Artiklen her forklarer, hvorfor sms-koder stadig bruges bredt, hvad de gør godt, hvilke svagheder der ofte nævnes, og hvorfor sikker autentifikation i praksis handler lige så meget om kontekst og implementering som om selve kanalen.
Hvorfor SMS-OTP stadig bruges bredt
Den vigtigste forklaring er rækkevidde. Microsoft Entra understøtter stadig sms som en af flere MFA-metoder, side om side med Microsoft Authenticator, passkeys, FIDO2, certifikater og OATH-tokens. Det i sig selv er et godt billede på markedet: selv store identity-platforme, der tydeligt satser på stærkere autentifikation, holder stadig sms i porteføljen, fordi det er en metode, som mange brugere allerede kan modtage uden særlig opsætning.
Det samme ses hos leverandører, der arbejder med verifikation som infrastruktur. Twilio beskriver fortsat brugerbekræftelse via sms som en central use case og fremhæver sms som en metode, der kan hjælpe virksomheder med at beskytte konti og transaktioner. Samtidig peger Twilio på, at virksomheder i 2025 i stigende grad arbejder med en bredere palette af autentifikationsformer, men ikke nødvendigvis fjerner sms helt.
Det skyldes blandt andet, at sms fungerer godt i miljøer, hvor virksomheder har brug for hurtig udrulning, bred enhedsdækning og lav brugerfriktion. En sms kræver normalt hverken app-installation, særskilt token-håndtering eller browser-/device-understøttelse af nyere standarder. Det gør sms attraktiv som adgangsmetode i brede brugerpopulationer, i onboardingforløb og som fallback, når mere avancerede metoder ikke er tilgængelige. Den pointe understøttes indirekte af både Microsofts metodeunderstøttelse og Twilios fokus på bredde i Verify-løsninger.
Hvad login-koder via sms gør godt
Den største styrke ved login kode sms er enkelhed. Brugeren forstår formatet, modtager beskeden på en velkendt kanal og kan ofte gennemføre login uden yderligere instruktion. Det gør sms nyttig i situationer, hvor autentifikation skal være let at forstå og hurtig at gennemføre.
OWASP nævner blandt fordelene ved sms, at metoden er enkel, velkendt og understøttes bredt. Det er en vigtig pointe, fordi sikkerhedsløsninger i praksis ikke kun vurderes på, hvor stærke de er i teorien, men også på hvor mange brugere der faktisk kan og vil gennemføre dem korrekt. Hvis en metode er sikker på papiret, men skaber stor brugerfriktion, kan organisationer ende med dårlig adoption, mere supportpres eller alternative workarounds.
Derudover er sms stærk som tilgængelighedslag. Virksomheder med meget blandede brugergrupper kan have kunder, samarbejdspartnere eller medarbejdere, der ikke har en authenticator-app sat op, ikke bruger nyere enheder eller ikke uden videre kan håndtere passkeys. I de sammenhænge fungerer sms ofte som den fællesnævner, der gør det muligt at tilføje en ekstra faktor uden at stille høje krav til brugerens tekniske setup. Det er netop en af årsagerne til, at Microsoft stadig understøtter sms i Entra MFA i stedet for kun at tilbyde de stærkeste metoder.
Brugervenlighed kontra sikkerhed
Spændet mellem brugervenlighed og sikkerhed er centralt her. En sms-kode er ikke den stærkeste metode, men den er ofte blandt de lettest forståelige. Derfor vælger mange virksomheder den stadig, især når de skal beskytte et bredt loginmiljø og samtidig minimere friktionen for brugere, der ellers kunne falde fra eller belaste supporten.
Det gør sms-OTP til et klassisk kompromisværktøj. Ikke fordi virksomheder nødvendigvis vurderer sms som ideel, men fordi de vurderer, at den i mange sammenhænge er god nok, især når alternativet er ingen ekstra faktor overhovedet. Det er en vigtig praktisk pointe, som både OWASP og de større identity-platformes fortsatte understøttelse indirekte understøtter.
Hvilke sikkerhedsmæssige svagheder der ofte nævnes
Kritikken af sms-baseret OTP er reel og veldokumenteret. NISTs aktuelle retningslinjer gør det klart, at out-of-band-metoder via det offentlige telefonnet ikke er phishing-resistente. Det betyder, at sms-koder kan opsnappes eller misbruges i scenarier, hvor brugeren lokkes til at afgive dem i et falsk loginflow, eller hvor angribere på anden vis får kontrol over kanal eller identitet.
OWASP peger tilsvarende på, at sms har kendte svagheder sammenlignet med stærkere autentifikatorer. Selvom cheat sheet-siden i det viste udsnit især opsummerer MFA generelt, er OWASP’s samlede vejledning netop kendt for at betone, at ikke alle andenfaktorer er lige stærke, og at sms typisk rangerer lavere end phishing-resistente metoder som hardwarebaserede authenticators eller passkeys.
Derudover er sms udsat for mere operationelle problemer. Levering kan fejle eller forsinkes. Numre kan genbruges. Brugere kan miste kontrollen over deres telefonnummer. Og i nogle miljøer kan fallback-logikker i sig selv blive et problem. Et nyere eksempel er Proofpoints forskning omtalt i 2025, hvor Microsoft Entra ID i visse setups kunne falde tilbage til svagere metoder som sms, når stærkere FIDO-login ikke kunne bruges. Selvom dette ikke betyder, at sms i sig selv er “brudt”, viser det, at sikkerheden omkring sms-OTP også afhænger af, hvordan metoden indgår i en større autentifikationsarkitektur.
Hvorfor mange virksomheder alligevel vælger løsningen
På trods af svaghederne lever sms-OTP videre, fordi virksomheder sjældent vælger autentifikation i et vakuum. De vælger den i relation til risiko, brugerbase, driftsmiljø og implementeringsomkostning.
Twilio beskriver i sine 2025-trendartikler, at markedet bevæger sig mod passwordless og stærkere metoder som passkeys, men også at organisationer fortsat arbejder med en kombination af metoder for at tage hensyn til både sikkerhed og brugerpræferencer. Det er en vigtig markedsindikator: udviklingen går mod stærkere autentifikation, men virksomheder udfaser ikke nødvendigvis sms med det samme, fordi de stadig skal understøtte mange forskellige brugerscenarier.
For mange virksomheder er sms derfor en pragmatisk løsning i mindst tre situationer. Den første er som bredt tilgængelig standard-MFA for store og blandede brugergrupper. Den anden er som fallback eller backup-metode, når mere avancerede metoder ikke virker. Den tredje er i flows, hvor risikoen vurderes som moderat, og hvor friktionen ved stærkere metoder kan være for høj i forhold til værdien af handlingen. Disse valg er ikke risikofrie, men de er forståelige i praksis. De stemmer også med NISTs tilgang, hvor metoden ikke er forbudt, men underlagt skærpet opmærksomhed og kontekst.
Risiko, adgang og kontekst
Det gør kontekst til det vigtigste ord i hele diskussionen. Et login til en mindre følsom kundekonto og en adgang til højt privilegerede administrationsmiljøer bør ikke nødvendigvis behandles ens. Microsofts og andre platformes brede metodeunderstøttelse viser netop, at moderne autentifikation i stigende grad handler om at matche metode og risiko frem for at vælge én universel model til alt.
I den sammenhæng er sms ofte hverken førstevalg eller sidstevalg, men et mellemlag. Det kan være passende i nogle flows, utilstrækkeligt i andre og problematisk som eneste metode på meget følsomme konti. Den balancerede læsning er derfor, at sms-OTP fortsat bruges, fordi mange virksomheder stadig vurderer, at metoden giver en acceptabel kombination af adgang og sikkerhed i bestemte sammenhænge.
Hvad sikker autentifikation kræver ud over selve kanalen
Det mest misvisende ved diskussionen om to-faktor sms er måske forestillingen om, at sikkerheden kan reduceres til kanalen alene. I praksis afhænger meget af implementeringen omkring kanalen.
NISTs retningslinjer peger netop på, at out-of-band-metoder skal indgå i en samlet autentifikationsmodel med korrekte bindings- og kanalforudsætninger. Det betyder, at sms-koder ikke bør vurderes isoleret fra resten af loginflowet, brugerens identitetsbinding, sessionens beskyttelse og organisationens håndtering af højrisiko-konti.
Microsofts sikkerhedsretning peger også i den bredere retning. Selvom Entra fortsat understøtter sms, fremhæver Microsoft mere avancerede metoder som Authenticator, passkeys og FIDO2 som centrale byggesten i moderne MFA. Det viser, at virksomheder bør tænke i lag og migration, ikke blot i én kanal. Sms kan være del af en portefølje, men den stærkeste sikkerhed opstår typisk, når organisationen også arbejder med metodevalg, fallback-styring og risikobaseret adgang.
Derudover spiller operationel kvalitet ind. Levering, branding, logning og compliance omkring OTP-trafik er også blevet vigtigere. Twilio’s regulatoriske opdateringer fra oktober 2025 om automatisk præfiks på OTP-beskeder viser, at selv drift og regulatoriske forhold omkring sms-verifikation er et aktivt område. Det understreger, at sms sikkerhed ikke kun er kryptografi og trusselsmodeller, men også stabilitet, efterlevelse og gennemsigtighed i selve leverancen.
SMS-OTP er ikke færdig — men heller ikke facit
Hvis man ser på markedet i 2025 og 2026, er konklusionen ret klar. Sms-baserede engangskoder er ikke forsvundet, og de er ikke forsvundet af en grund. De løser stadig et praktisk problem for mange virksomheder: hvordan man hurtigt og bredt kan lægge et ekstra lag på login og verificering uden at gøre adgang alt for vanskelig for store brugergrupper.
Samtidig er sikkerhedsdebatten blevet mere moden. NIST gør det klart, at sms ikke er phishing-resistent. OWASP peger på, at metoden har kendte svagheder. Og markedet bevæger sig tydeligt mod stærkere og mere brugervenlige alternativer som passkeys og app-baserede authentifikatorer. Derfor er det mest præcist at se sms-OTP som en metode, der stadig har en rolle, men hvis rolle i højere grad bør begrundes af kontekst end af vane.
For virksomheder betyder det, at spørgsmålet ikke kun er, om de bruger sms-koder, men hvor, hvorfor og sammen med hvad. Det er netop dér, sikker autentifikation bliver et praksisspørgsmål frem for en ideologisk debat om én “rigtig” kanal. Og det er også derfor, virksomheder endnu ikke er færdige med OTP via sms.
