Som udgiver kan – og bør! – man bede sine medarbejdere legitimere sig med flere faktorer, således at adgangen til Iteras-kontoen bliver sværere for uvedkommende at hacke.

Funktionen slås til i opsætningen af kontoen under Grundindstillinger. Der er tre muligheder:

  • Ingen sekundær legitimation: Man forlader sig på brugernavn og kodeord alene, dvs. to-faktor-logind er ikke slået til
  • Brugere kan registrere sekundær legitimation: Det gøres muligt for – og lades op til – brugeren at registrere en sekundær legitimation
  • Påmind brugeren om at registrere sekundær legitimation ved hvert login: Man opfordrer hele tiden brugeren til at registrere sekundær login.

Det er brugeren selv der skal oprette det sekundære login, hvis det skal være ukendt for alle andre. Og det er jo pointen. Derfor bør man som udgiver anmode sine medarbejdere om at oprette et sådant, og evt. instruere dem i, hvordan man gør. Denne proces understøttes så af Iteras, der med sidste valgmulighed kan minde brugerne om, at det er nødvendigt, hver gang de logger ind.

Der understøttes to typer af sekunder legitimation. Man skal ikke som udgiver vælge på vegne af ens medarbejdere – hver medarbejder kan vælge frit mellem de tilgængelige muligheder, som er:

  • Tidsbaserede engangskoder (TOTP): Disse går kort fortalt ud på, at man danner en nøgle og putter den ind i en app – oplagt på mobilen – og så genererer app’en en 6-cifret kode, som skifter hver 30. sekund. Den aktuelle kode tastes så ind, når man vil logge ind. Et eksempel på en sådan app er Google Authenticator eller Duo Mobile. Bemærk, at det er vigtigt at klokken på telefonen er rigtig indstillet, da koden ellers ikke virker. Det opnås ved at telefonen opsættes til automatisk at synkronisere tiden.
  • Den anden er gennem den relative nye standard WebAuthn hvor man får browseren til at spørge ud i styresystemet hvad der er af muligheder. Det giver mulighed for at bruge USB-sikkerhedsnøgler som disse: https://leetronics.de/en/shop/solo-security-key/

Man vil derudover skulle benytte sit kodeord.