Il token è una chiave di sicurezza elettronica oggi molto diffusa soprattutto per l’accesso ai siti delle banche, per la gestione del proprio conto bancario. Il sistema è stato adottato già da diversi anni a fronte del crescente numero delle frodi e dei furti dei dati personali via web. Grazie a questo sistema è oggi possibile accedere al proprio conto in tutta sicurezza, passando per più step di protezione così da rendere difficile o, anzi, impossibile agli hacker accedere impropriamente ai dati. Il sistema è stato ideato e utilizzato in particolare nel settore bancario, ma questo non significa che altre tipologie di sito web non siano sicure, poiché ognuno di essi ha propri sistemi di sicurezza.

Se pensiamo, per esempio, agli e-commerce (di prodotti, viaggi o altro) su cui si usano carte di credito, al sito delle poste (dove si gestiscono libretti di conto), ai siti di trading o ai siti su cui si gioca alle slot far west, sappiamo che non sono legati a un token, ma sono sicuri grazie ad altre formule. In alcuni casi ci sono dei tetti di spostamento di denaro, in altri vengono inviate delle password sul cellulare e in altri ancora c’è una costante vigilanza in tempo reale. Ovvio è che dal momento che sui siti delle banche si gestiscono capitali ingenti il livello di sicurezza richiesto deve essere ancora maggiore, ecco quindi che sono stati introdotti i token.

Come è fatto un token

Il token si presenta come un piccolo apparecchio elettronico portatile, grande come una chiavetta USB, con un piccolo display e un solo pulsante. Premendo quest’ultimo il token genera un codice numerico (un sicurcode) che appare sullo schermo e vi resta per circa trenta secondi per poi sparire. Ripremendo il pulsante, infatti, si può vedere che esce una serie di numeri totalmente diversa, anche perché ogni sicurcode è monouso.

In alcuni casi il token può anche non essere fisico ma digitale, cioè essere un software installato sul computer dell’utente. Esso è alimentato autonomamente da una batteria a lunga durata e talvolta ha una porta USB quando è previsto lo scambio di dati. Quando la batteria si esaurisce non è possibile sostituirla in autonomia, ma è necessario andare in banca personalmente per richiedere un nuovo dispositivo (fornito di solito gratuitamente).

Come funzionano i token crittografici

Il token hardware o token crittografico permette di autenticare un utente per l’accesso a una sezione privata di un sito, di solito in cui vi sono dati personali o dove si possono gestire capitali. Il token sostanzialmente fornisce un codice di numeri a intervalli regolari di circa una trentina di secondi, secondo algoritmi particolari. A richiesta di questo codice sul sito della banca (ad esempio) è necessario premere un pulsante che mostra sullo schermo del token la serie di numeri da inserire (che altro non sono che una sorta di password monouso).

In questo modo il server, sincronizzato al dispositivo, permette l’accesso, dopo l’inserimento anche delle classiche credenziali nome utente e password (c’è quindi un doppio step). La password generata dal token serve per accedere al proprio conto e poi a conferma di qualunque operazione effettuata sullo stesso. Per motivi di sicurezza se si sbaglia più di tre volte l’inserimento delle credenziali o il numero del token, il sistema si blocca e, per ripristinare la situazione, si rende necessario recarsi personalmente in banca.