O Google lançou o Módulo do Google Authenticator com uma interface PAM.
Alguém tem experiência em implementar isso em um servidor imap?
O protocolo IMAP pode usar SASL para autenticação, que explicitamente pode suportar OTP. As outras duas respostas estão erradas nesta conta. O SASL pode ainda ser estendido a outros mecanismos de autenticação.
No entanto, tanto o servidor quanto o software cliente devem suportar o Mecanismo SASL para que ele funcione, e o OTP não é suportado por nenhum software que eu saiba (não que ele não exista, eu simplesmente não saber de qualquer).
Se este sistema implementar um sistema de resposta ao desafio, você não terá a chance de fazer isso com o IMAP, pois o IMAP não tem suporte para esse sistema, como o Luca já disse.
Se houver uma opção para uma geração OTP estritamente baseada no tempo (você insere sua senha em seu gerador OTP, que gera um OTP dependente do tempo que serve como senha de login IMAP) ou algo semelhante, deve ser fácil : Basta configurar o seu servidor IMAP para autenticar contra este módulo PAM e você deve estar pronto.
O Google Authenticator é uma implementação de OTP (senha única).
Com o OTP, um desafio é apresentado ao usuário que deve inseri-lo junto com uma frase secreta (algo que você sabe) em uma calculadora OTP (algo que você tem, geralmente um smartphone) para gerar a resposta.
edit : Conforme mencionado por Chris S, o IMAP suporta SASL e o SASL suporta OTP ... mas não estou ciente dos servidores ou clientes que o implementam.
Tags imap google-authenticator