Een one-time password is zoals de naam al aangeeft maar één keer geldig. Staat er een keylogger op de computer waarmee je op je server inlogt, dan kan de hacker die ervoor verantwoordelijk is niets doen met het wachtwoord dat hij onderschept. FreeBSD ondersteunt van huis uit OPIE (One-time Passwords In Everything). Om dit te gebruiken, voer je eerst op de server het commando 'opiepasswd -c' uit en vul je een passphrase in. Je krijgt dan een volgnummer (bijvoorbeeld 499), challenge (bijvoorbeeld to4268) en een one-time password dat bij deze parameters hoort.

Wanneer je nu op je server inlogt zonder je private sleutel, vraagt de wachtwoordprompt het volgende:

otp-md5 498 to4268 ext

Het volgnummer is hier 498 (en dit telt af bij elke login), wat betekent dat we een nieuw one-time password op de client moeten aanmaken met het volgende commando:

opiekey 498 to4268

Je vult dan je passphrase in, waarna het one-time password waarmee je op je server inlogt eruit rolt. Opiekey laat via de optie -n ook toe om meerdere one-time passwords tegelijk te genereren. Na het invullen van je passphrase krijg je dan een lijst met een aantal one-time passwords en de bijbehorende volgnummers, die je kunt uitprinten of opschrijven en bij je houden voor als het nodig is. Er bestaat ook een applicatie die je op je mobieltje draait en die het one-time password berekent dat bij een bepaalde passphrase, volgnummer en challenge hoort: J2ME-OTP. Bron: Techworld