De flesta dataintrång beror inte på avancerad hackning utan på enkla misstag: återanvända lösenord, avstängd tvåfaktor eller ett klick på fel länk. Den goda nyheten är att du kan blockera de allra flesta attacker med några konkreta åtgärder. Den här guiden är en komplett säkerhet på nätet-checklista i sju steg 2026, från lösenord och passkeys till sociala medier. Inga tekniska förkunskaper krävs.
- Passkeys är nu mainstream – stöds av Google, Apple, Microsoft, PayPal, GitHub och fler. Phishing-resistenta i grunden
- Längd slår komplexitet – en lång lösenordsfras är säkrare än ett kort komplext lösenord, enligt uppdaterade NIST-riktlinjer
- Tvångsbyte av lösenord avråds nu – byt bara vid misstänkt intrång, inte var 90:e dag
- SMS-koder är svagast – sårbara för SIM-swapping, använd app eller nyckel istället
- Angripare riktar sig mot människor, inte system – medvetenhet är viktigare än någonsin
Varför IT-säkerhet är viktigt även för dig
Det är en vanlig missuppfattning att man måste vara intressant eller rik för att bli en måltavla. I verkligheten är de flesta attacker automatiserade och urskillningslösa. Hackare använder tekniker som credential stuffing: de tar läckta användarnamn och lösenord från ett dataintrång och provar dem automatiskt på hundratals andra tjänster. Om du återanvänt ett lösenord räcker en enda läcka för att kompromettera flera konton samtidigt.
Den mänskliga faktorn står för majoriteten av dataintrång. Det betyder att din egen medvetenhet och dina vanor är ditt starkaste skydd, starkare än någon enskild produkt. Den här checklistan bygger ett lager-på-lager-skydd där varje steg täcker svagheterna i de andra.
Steg 1: Lösenord och passkeys
Lösenord är fortfarande den vanligaste ingången för angripare, och det är därför detta steg är viktigast. Den gamla regeln om korta krångliga lösenord som byts var tredje månad är föråldrad. Modern forskning visar att längd slår komplexitet.
Använd lösenordsfraser, inte krångel
Ett 16-teckens lösenord byggt av flera ord (en lösenordsfras) är mycket svårare att knäcka än ett kort lösenord fullt av specialtecken. En fras som ”elefanter springer under blå himmel” är både lättare att minnas och säkrare än ”P@ssw0rd!”. Längden är den viktigaste faktorn mot dagens AI-drivna attacker.
Använd en lösenordshanterare
En genomsnittsperson har över 100 konton. Att minnas ett unikt starkt lösenord för varje är omöjligt utan hjälpmedel. En lösenordshanterare löser detta: den skapar, lagrar och fyller i unika lösenord automatiskt. Du behöver bara minnas ett enda huvudlösenord. För att skapa starka lösenord, använd vår lösenordsgenerator.
Passkeys: framtiden är här
Passkeys är den största förändringen inom inloggning på decennier. Istället för ett lösenord använder de kryptografiska nyckelpar lagrade på din enhet. Du loggar in med fingeravtryck, ansikte eller enhetens PIN-kod. Det avgörande är att passkeys är phishing-resistenta i grunden: de är kryptografiskt bundna till en specifik domän och fungerar därför inte på falska sajter.
Passkeys stöds nu av Google, Apple, Microsoft, PayPal, GitHub, Amazon och fler. Använd passkeys överallt där det erbjuds. För äldre tjänster som inte stöder passkeys ännu, fortsätt med starka unika lösenord i en hanterare.
- Skaffa en lösenordshanterare och lägg in alla konton
- Byt alla återanvända lösenord till unika
- Använd lösenordsfraser på minst 16 tecken
- Aktivera passkeys där det erbjuds
- Sätt ett starkt huvudlösenord du aldrig återanvänder
Steg 2: Tvåfaktorsautentisering (2FA)
Även det starkaste lösenordet kan stjälas via phishing, skadlig kod eller dataintrång. Tvåfaktorsautentisering (2FA) lägger till ett andra lager som angriparen måste passera även om de har ditt lösenord. Enligt Microsoft blockerar 2FA mer än 99 procent av automatiska attacker mot konton.
Alla 2FA-metoder är inte lika bra
| Metod | Säkerhet | Kommentar |
|---|---|---|
| Passkeys | Bäst | Phishing-resistent, har 2FA inbyggt |
| Hårdvarunyckel (FIDO2) | Mycket hög | Fysisk nyckel, svår att kringgå |
| Autentiseringsapp (TOTP) | Hög | Google Authenticator, Authy |
| Push-notis | Medel | Bekväm men sårbar för MFA-trötthet |
| SMS-kod | Svagast | Sårbar för SIM-swapping, sista utväg |
Aktivera 2FA på alla konton som stödjer det, och börja med de viktigaste: e-post, bank och molnlagring. Använd helst en autentiseringsapp eller hårdvarunyckel. SMS-koder är bättre än ingenting men bör undvikas eftersom de kan kringgås genom SIM-swapping.
- Slå på 2FA på e-post först (viktigast)
- Slå på 2FA på bank och molnlagring
- Använd autentiseringsapp istället för SMS
- Spara backup-koder på säker plats
- Överväg en fysisk hårdvarunyckel för kritiska konton
Steg 3: Antivirus och skydd mot skadlig kod
Antivirus upptäcker, blockerar och tar bort skadlig programvara innan den hinner infektera din enhet. Skadlig kod kan stjäla lösenord, kryptera dina filer (ransomware) eller spionera på dig. Se vår guide om sabotageprogram och hur de fungerar.
Du behöver inte alltid betala. Inbyggda lösningar som Windows Defender ger bra grundskydd för många användare. För en jämförelse av alternativ, se vår guide om bästa gratis antivirus.
Viktigt utöver antivirus
- Håll allt uppdaterat – många intrång utnyttjar kända sårbarheter i föråldrad programvara
- Aktivera brandväggen – blockerar oönskad nätverkstrafik
- Granska app-behörigheter – särskilt appar som vill åt kamera, kontakter eller plats
- Använd en annonsblockerare – många angrepp sker via skadliga annonser
- Installera eller aktivera antivirus
- Slå på automatiska uppdateringar för OS och program
- Aktivera brandväggen
- Granska och begränsa app-behörigheter
- Kör en full skanning regelbundet
Steg 4: VPN på publika nätverk
Ett VPN (Virtual Private Network) krypterar din internettrafik så att ingen kan avlyssna den. Det är särskilt viktigt på publika wifi-nätverk på café, flygplats eller hotell, där angripare kan fånga upp data. För grunderna, se vår guide om vad VPN är och hur det fungerar.
Undvik helst känsliga inloggningar (bank, jobb) på publika nätverk helt. Måste du, använd alltid VPN eller din mobils delade uppkoppling istället. För att välja tjänst, se vår jämförelse av bästa VPN.
Vad VPN INTE skyddar mot
Ett VPN gör dig inte anonym eller immun. Det skyddar inte mot phishing, skadlig kod eller svaga lösenord. Det är ett lager bland flera, inte en helhetslösning. Se det som kryptering av transportvägen, inte som ett skydd för innehållet.
- Skaffa ett pålitligt VPN med granskad no-log-policy
- Slå alltid på VPN på publika nätverk
- Undvik bankärenden på öppet wifi
- Använd mobilens delade uppkoppling som alternativ
- Aktivera VPN-appens kill switch
Steg 5: Säkra din e-post
Din e-post är den enskilt viktigaste tjänsten att skydda. Den är huvudnyckeln till allt annat: om någon kommer in i din e-post kan de återställa lösenord på praktiskt taget alla dina andra konton. Därför ska e-posten ha ditt starkaste lösenord och 2FA aktiverat först av allt.
Känn igen phishing
Phishing är ett av de vanligaste sätten konton kapas. Var vaksam på:
- Oväntade meddelanden som ber dig verifiera kontouppgifter
- Falsk brådska (”Ditt konto stängs inom 24 timmar!”)
- Misstänkta länkar – håll muspekaren över för att se den verkliga adressen
- Dålig grammatik i påstått officiella meddelanden
- Begäran om känslig info via e-post eller SMS
Vid minsta tvekan: gå direkt till webbsidan genom att skriva adressen själv istället för att klicka på länken. Moderna phishing-kit kan stjäla både sessionscookies och 2FA-koder, vilket gör vaksamhet avgörande även med 2FA påslaget. Förstå hur kryptering skyddar e-post i vår guide om SSL och TLS.
Bedragare imiterar banker, myndigheter, post- och pakettjänster samt välkända företag. De skapar brådska och hotar med konsekvenser. Ingen seriös aktör ber dig logga in via en länk i ett oväntat meddelande. Vid osäkerhet, kontakta avsändaren via deras officiella kanal som du själv letar upp.
- Sätt ditt starkaste lösenord på e-posten
- Aktivera 2FA på e-posten först av allt
- Lär dig känna igen phishing-tecken
- Klicka aldrig på länkar i oväntade meddelanden
- Ha en separat återställnings-e-post
Steg 6: Säker surfning
Mycket av din säkerhet avgörs i webbläsaren. Kontrollera att sajter använder HTTPS (hänglåset i adressfältet) innan du matar in känslig information. Tänk dock på att hänglåset bara betyder att anslutningen är krypterad, inte att sajten är seriös. Läs mer i vår guide om HTTPS och varför det är viktigt.
Vanor för säker surfning
- Håll webbläsaren uppdaterad – säkerhetsuppdateringar är kritiska
- Kontrollera domännamnet noga – bedragare använder snarlika adresser
- Ladda inte ner från okända källor
- Använd en annonsblockerare mot skadliga annonser
- Var skeptisk mot för bra erbjudanden
- Logga ut från känsliga tjänster på delade datorer
- Slå på automatiska webbläsaruppdateringar
- Kontrollera HTTPS innan inloggning
- Granska domännamn noga vid varje inloggning
- Installera en pålitlig annonsblockerare
- Logga ut på delade enheter
Steg 7: Sociala medier och övervakning
Sociala medier är en guldgruva för angripare. Många delar omedvetet information som används för riktad phishing eller identitetsstöld. Att posta din nuvarande plats kan dessutom innebära fysisk risk.
Minska din digitala exponering
- Dela inte din plats i realtid
- Begränsa personliga detaljer som kan användas för riktade attacker
- Sätt konton till privata och acceptera bara personer du känner
- Granska gamla inlägg och ta bort känslig information
- Stäng konton du inte använder – varje konto är en attackyta
Vill du minska din exponering helt kan du stänga gamla konton. Se våra guider om att ta bort Facebook-konto och att ta bort Instagram-konto.
Övervaka läckor
Trots alla åtgärder kan dina uppgifter läcka via dataintrång hos tjänster du använder. Kontrollera regelbundet om dina uppgifter dykt upp i kända läckor via haveibeenpwned.com. Se även vår guide om hur du kollar om du blivit hackad. Granska också aktivitetsloggar i dina viktiga konton periodvis för att upptäcka misstänkta inloggningar.
- Sätt sociala medier till privata
- Sluta dela plats och känsliga detaljer
- Stäng konton du inte använder
- Kontrollera dina uppgifter mot kända läckor
- Granska aktivitetsloggar regelbundet
GDPR: dina rättigheter stärker din säkerhet
Som EU-medborgare har du starka rättigheter över dina personuppgifter. Enligt Integritetsskyddsmyndigheten har du rätt att begära radering av dina uppgifter (”rätten att bli bortglömd”), rätt till tillgång och rätt att invända mot databehandling. Att utöva dessa rättigheter och stänga konton du inte längre använder minskar din totala attackyta. Mindre data om dig på nätet innebär mindre att stjäla.
Prioritering: vad du ska göra först
Om allt känns överväldigande, gör inte allt på en gång. Prioritera i denna ordning:
| Prioritet | Åtgärd | Varför |
|---|---|---|
| 1. Idag | 2FA på e-post | E-post är nyckeln till allt annat |
| 2. Denna vecka | Lösenordshanterare, byt återanvända | Stoppar credential stuffing |
| 3. Denna vecka | 2FA på bank och molnlagring | Skyddar pengar och filer |
| 4. Denna månad | Antivirus och uppdateringar | Stoppar skadlig kod |
| 5. Denna månad | VPN och säker surfning | Skyddar på publika nätverk |
| 6. Löpande | Sociala medier och övervakning | Minskar attackytan över tid |
Vanliga frågor om säkerhet på nätet
Vad är det viktigaste för säkerhet på nätet?
Det viktigaste är unika lösenord (eller passkeys) i en lösenordshanterare plus tvåfaktorsautentisering på e-posten. E-posten är huvudnyckeln eftersom den kan användas för att återställa alla andra lösenord. Börja där om du bara gör en sak.
Är passkeys säkrare än lösenord?
Ja. Passkeys är phishing-resistenta i grunden eftersom de är kryptografiskt bundna till en specifik domän och inte fungerar på falska sajter. De har också 2FA inbyggt. Använd passkeys överallt där de erbjuds. För äldre tjänster utan stöd, använd starka lösenord i en hanterare.
Hur skapar jag ett starkt lösenord?
Använd en lösenordsfras: flera ord på minst 16 tecken, till exempel ”elefanter springer under blå himmel”. Längd slår komplexitet. Ett långt lösenord av ord är säkrare och lättare att minnas än ett kort med specialtecken. Bäst är att låta en lösenordshanterare generera och spara dem.
Måste jag byta lösenord regelbundet?
Nej, inte längre. Uppdaterade riktlinjer från NIST avråder från tvångsbyte var 90:e dag eftersom det leder till svagare lösenord. Byt bara lösenord vid misstänkt intrång eller om tjänsten haft en dataläcka. Ett unikt starkt lösenord behöver inte bytas rutinmässigt.
Vilken tvåfaktormetod är bäst?
Passkeys och hårdvarunycklar (FIDO2) är säkrast. Autentiseringsappar (TOTP) som Google Authenticator är ett bra alternativ. SMS-koder är svagast eftersom de kan kringgås via SIM-swapping och bör bara användas som sista utväg när inget annat erbjuds.
Behöver jag betala för antivirus?
Inte nödvändigtvis. Inbyggda lösningar som Windows Defender ger bra grundskydd för många användare. Betalda alternativ kan ge extra funktioner. Det viktigaste är att ha något aktivt antivirus, hålla det uppdaterat och kombinera med uppdaterad programvara och sunt förnuft.
Behöver jag VPN hemma?
Hemma på ditt eget krypterade nätverk är VPN inte lika kritiskt för säkerheten, men ger integritetsfördelar genom att dölja din aktivitet från internetleverantören. På publika nätverk (café, flygplats) är VPN däremot starkt rekommenderat eftersom andra kan avlyssna trafiken.
Hur vet jag om jag blivit hackad?
Tecken inkluderar ovanligt långsam enhet, okända program, oväntade inloggningar, ändrade webbläsarinställningar eller batteridränering. Kontrollera dina uppgifter mot kända läckor och granska aktivitetsloggar i dina konton. Vid misstanke: koppla från internet, kör full antivirusskanning och byt lösenord från en annan enhet.
Vad ska jag göra om mitt konto kapats?
Agera snabbt. Byt lösenord från en ren enhet, aktivera 2FA om det inte var på, logga ut alla sessioner, kontrollera kopplade enheter och appar, och varna kontakter om bedragaren kan ha skickat meddelanden. Kontrollera även andra konton med samma lösenord.
Är gratis wifi farligt?
Publika wifi-nätverk är ofta osäkra och kan avlyssnas. Undvik bankärenden och känsliga inloggningar helt på öppet wifi. Måste du, använd alltid VPN eller din mobils delade uppkoppling. Moderna sajter med HTTPS ger visst skydd men VPN är säkrare på publika nätverk.
Hur skyddar jag mig mot phishing?
Var skeptisk mot oväntade meddelanden som skapar brådska eller ber om uppgifter. Klicka aldrig på länkar i sådana meddelanden, gå istället direkt till sajten genom att skriva adressen själv. Kontrollera avsändaradress och domännamn noga. Passkeys skyddar bäst eftersom de inte fungerar på falska sajter.
Bör jag stänga gamla konton jag inte använder?
Ja. Varje konto är en potentiell attackyta. Gamla konton med svaga eller återanvända lösenord är särskilt riskabla. Stäng konton du inte längre använder och utöva din GDPR-rätt att få uppgifter raderade. Mindre data om dig på nätet betyder mindre att stjäla.
Vad är credential stuffing?
Det är när angripare tar läckta användarnamn och lösenord från ett dataintrång och automatiskt provar dem på hundratals andra tjänster. Det fungerar bara om du återanvänt lösenord. Därför är unika lösenord per tjänst (via en lösenordshanterare) ett av de viktigaste skydden.
Hur ofta ska jag kolla om jag läckt uppgifter?
Kontrollera dina e-postadresser mot kända läckor några gånger per år, eller sätt upp bevakning som meddelar dig automatiskt vid nya läckor. Om du dyker upp i en läcka, byt lösenord på de berörda tjänsterna omedelbart och alla andra ställen du återanvänt samma lösenord.
Är det säkert att spara lösenord i webbläsaren?
Webbläsarens inbyggda lösenordssparare är bättre än att återanvända lösenord, men en dedikerad lösenordshanterare ger starkare kryptering, fungerar över alla enheter och appar, och har funktioner som läckbevakning. För bästa säkerhet, använd en dedikerad lösenordshanterare.
Sofia Lindgren ansvarar för redaktionens bevakning av IT-säkerhet och integritetsfrågor. Med sin journalistiska bakgrund följer hon dagligen utvecklingen inom cybersäkerhet, dataläckor och digital integritet. Hon skriver analyser om hur nya säkerhetshot påverkar användare och företag.
Jag har varit och surfat på icke vettiga sidor. Vanlig porr.
Fått ett mail 6/6 som har min email som avsändare så jag kan inte kontakta någon i ärendet. Mailet säger att jag har Pegasus spyware på datorn, tror inte det men så är livet.
Nu har jag fått ett mail om en crypto-betalning till ett Litecoin-konto.
Jag vet ej hur man gör för att fixa bitcoin så min telefon och dator skall skicka iväg all min statistik från mina adressböcker 8/6 till folk i kontakterna. Det hade jag gärna varit utan.
Kan ni hjälpa mig?
Lars
Hej Lars,
Tack för att du hör av dig – och ja, jag förstår att det här känns både obehagligt och stressande. Det du beskriver är ett klassiskt exempel på ett falskt utpressningsmejl, ofta kallat ”sextortion scam”. Jag ska förklara vad det är och hur du bör agera:
Vad har hänt? Du har fått ett bluffmejl där avsändaren påstår:
Att de installerat ett spionprogram (t.ex. Pegasus – ett mycket avancerat verktyg, men inte något som privatpersoner kan använda)
Att de har tillgång till din kamera, kontakter och surfhistorik
Att de kommer skicka ut detta till dina kontakter om du inte betalar i kryptovaluta
Det är nästan alltid bluff. Dessa mejl är massutskick som försöker skrämma mottagaren att betala. Att mailet verkar komma från din egen adress är en teknik som kallas ”spoofing” – det betyder inte att någon har tillgång till ditt konto.
Vad ska du göra nu?
1. Betala inte. De har med största sannolikhet inget på dig alls. Detta är bara ett försök att utpressa dig.
2. Byt lösenord på din e-post. Gör det omedelbart, särskilt om du använt samma lösenord på flera ställen. Använd ett starkt och unikt lösenord.
3. Aktivera tvåfaktorsautentisering (2FA). Detta gör det mycket svårare för någon att komma åt dina konton, även om de har lösenordet.
4. Rensa datorn och mobilen. Installera eller kör ett uppdaterat antivirusprogram. Exempel: Malwarebytes (gratis), eller annan betrodd säkerhetslösning. Det är mycket osannolikt att du har Pegasus, men en säkerhetskontroll skadar inte.
5. Spara mejlet, men svara inte. Mejlet kan rapporteras till: polisen (om du känner dig hotad) – http://www.polisen.se
Internetstiftelsens varningssida: https://www.internetstiftelsen.se/guider/sa-hanterar-du-nathot-och-falska-hotbrev/
6. Var lugn. Du är inte ensam – tusentals svenskar får exakt samma typ av mejl varje vecka. De har inga filmer, de har inte din kamera, och de kommer inte skicka något till dina kontakter.