Avainlukulista on yksinkertainen tapa suorittaaa kaksivaiheinen tunnistautuminen: käyttäjätunnuksen ja salasanan lisäksi kysytään satunnaisesti lukupareja, jotka on toimitettu käyttäjälle tyypillisesti pahville tulostettuna listana.
Avainlukulistaa on käytetty pankkien verkkopalveluissa. Esimerkiksi OPn kortissa on useita lukupareja, joita verkkopalvelu kysyy satunnaisesti ja tavallisesti vain kerran jokaisen sisäänkirjautumiskerran jälkeen, mutta vasta silloin, kun henkilö yrittää tehdä varsinaisia pankkitoimia.[1][2] OP-Pohjolan avainlukulistan lukuparien loppuessa lähettää pankki automaattisesti uuden kortin.[3]
Avainlukulistan turvallisuus perustuu siihen, että jos käyttäjätunnus ja salasana joutuvat vääriin käsiin, ei henkilö pysty tekemään varsinaisia pankkitoimia ilman avainlukulistaa, kuin myös toisinpäin, pelkkä avainlukulista on täysin turha ilman käyttäjätunnusta ja salasanaa.
Avainlukulista lukittuu, jos pyydetty lukupari annetaan kolme kertaa peräkkäin väärin, eikä sitä voi sen jälkeen käyttää ilman henkilökohtaista käyntiä ja uudelleenaktivointia pankissa.lähde?
Koska ilmeni vääräinkäytöksiä, joissa väärennetyillä sähköposteilla urkittiin käyttäjätunnus, salasana ja myös viimeksi käytetty ja sitä seuraavat avainlukuparit, monessa pankissa muutettiin käytäntöä, missä järjestyksessä lukupareja käytetään. Oli tavallista, että niitä käytettiin numerojärjestyksessä eikä satunnaisesti sieltä täältä kuten nykyään. Samasta syystä avainlukulistassa lukee, ettei tulisi yliviivata käytettyjä lukuja (OP).