Två-stegslösenord, eller Two-step verification betyder att man har två lösenord. Dels ett vanligt lösenord men även ett dynamisk som skapas av t.ex. en app i din telefon. Det dynamiska lösenordet skapas om efter 30 sekunder. Säkerheten ligger i att det krävs att en attackerare dels har ditt lösenord och t.ex. din telefon som genererar lösenord.
T.ex. om du har två-stegslösenord aktiverat och gör SSH mot en server ser det ut så här:
$ ssh [email protected]
Verification code:
Password:
Welcome to Ubuntu 12.04.3 LTS (GNU/Linux x86_64)
… osv …
Verification code är det dynamiska lösenordet som skapas av din app och password är ditt vanliga lösenord. Du behöver även ange båda lösenorden när du loggar in på kontrollpanelen.
Självklart är det frivilligt med två-stegslösenord, men om du inte alltid har SSH-nyckel tillgänglig eller inte använder SSH-nyckel så rekommenderar vi det starkt. Om du har SSH-nyckel så behövs inte dubbla lösenord för inloggning med SSH.
Idag blir det vanligare och vanligare med två-stegslösenord. Du kan redan nu aktivera det för t.ex. Google, Dropbox, Facebook, Twitter och många fler tjänster. Det finns även modul till Drupal, plugin till WordPress, app till Django och gem till Ruby on Rails. Med andra ord, det finns ett stort stöd för det här och framtiden för two-step verification ser ljus ut.
Här är exempel på app för Iphone och Android som du kan använda. Eftersom algoritmen är öppen och enkel så finns det en uppsjö av appar och hårdvara som har stöd för TOTP, som det egentligen heter.
Tekniken bakom Time-based One-time Password, är som sagt ganska enkel och finns beskriven i RFC 6238.