Som utgiver kan – og bør! – man be sine medarbeidere legitimere seg med flere faktorer, slik at tilgangen til Iteras-kontoen blir vanskeligere for uvedkommende å hacke.
Funksjonen slås på i oppsettet av kontoen under Grunninnstillinger. Det er tre muligheter:
Ingen sekundær legitimasjon: Man baserer seg på brukernavn og passord alene, dvs. to-faktor-innlogging er ikke slått på
Brukere kan registrere sekundær legitimasjon: Det gjøres mulig for – og overlates til – brukeren å registrere en sekundær legitimasjon
Påminn brukeren om å registrere sekundær legitimasjon ved hvert login: Man oppfordrer hele tiden brukeren til å registrere sekundær innlogging.
Det er brukeren selv som må opprette den sekundære innloggingen, hvis den skal være ukjent for alle andre. Og det er jo poenget. Derfor bør man som utgiver be sine medarbeidere om å opprette en slik, og evt. instruere dem i hvordan man gjør. Denne prosessen støttes av Iteras, som med siste valgmulighet kan minne brukerne om at det er nødvendig hver gang de logger inn.
Det støttes to typer sekundær legitimasjon. Man skal ikke som utgiver velge på vegne av sine medarbeidere – hver medarbeider kan fritt velge mellom de tilgjengelige mulighetene, som er:
Tidsbaserte engangskoder (TOTP): Disse går kort fortalt ut på at man danner en nøkkel og legger den inn i en app – gjerne på mobilen – og så genererer appen en 6-sifret kode som byttes hver 30. sekund. Den aktuelle koden tastes inn når man vil logge inn. Et eksempel på en slik app er Google Authenticator eller Duo Mobile. Merk at det er viktig at klokken på telefonen er riktig innstilt, da koden ellers ikke virker. Dette oppnås ved at telefonen settes opp til automatisk å synkronisere tiden.
Den andre er gjennom den relativt nye standarden WebAuthn hvor man får nettleseren til å spørre i operativsystemet hvilke muligheter som finnes. Dette gir mulighet for å bruke USB-sikkerhetsnøkler som disse: https://leetronics.de/en/shop/solo-security-key/
I tillegg må man benytte sitt passord.