• Domanda sui Token ossia le chiavette per i bonifici online.

Per pura curiosità mi sono documentato per capire come funziona questo dispositivo.
Quello che ho capito è che in sostanza, il mio profilo online, nel sito bancario, è in qualche modo legato a questo token e solo a questo, e il server bancario, tramite un particolare algoritmo, è in grado di stabilire una corrispondenza biunivoca tra il codice generato dalla chiavetta e il mio acconto online.
Mi sono però sempre chiesto una cosa:
se inserisco un codice, durante il bonifico, ma lo lascio scadere fino a farne apparire uno nuovo, quello prima inserito è oramai nullo e devo scrivere quello nuovo appena rigenerato o è sempre valido?

Non c'è dubbio: devi usare il codice nuovo. Ogni codice ha una validità temporale similare a quello che accade per le sessioni tunnel TLS (le sessioni https che il vostro browser apre verso una pagina sicura): scaduto il termine di validità (diciamo 60 secondi) non potrai effettuare il bonifico.
Questo vuol dire che se all'inizio della transazione hai il codice 112233 e durante l'operazione fai scadere il codice (perchè sei lento come la morte) sei costretto a generare un nuovo codice (diciamo 223344) e ad utilizzare quello per concludere correttamente. Se tenti di concludere il bonfico con 112233 semplicemente l'operazione fallisce.

I classici orologi da polso digitali hanno una desincronia di qualche secondo al mese (nel senso che ogni mese l'ora originariamente impostata risulta sfasata di qualche secondo) ad eccezione di quelli radio controllati che si auto-calibrano ogni giorno ricevendo ricevendo l'ora via radio.

Quello che mi chiedo è: queste chiavette hanno un orologio radio-controllato al loro interno per non desincronizzarsi con l'orologio della banca?

La key è semplicemente un orologio al quarzo da pochi centesimi, a cui è aggiunto qualche altro ammenicolo tecnico in grado di eseguire un semplice algoritmo: quello che viene generato alla pressione del tassto è una serie di "hashcode" chee si basano sul codice univoco del token e sulle coordinate temporali.
Dall'altra parte c'è un server che esegue il medesimo calcolo ed ottiene la stessa serie. I risultati accettati, dunque, sono tutti quelli della serie: il trucco sta infatti nella tolleranza. Il backend accetta tutti i codici precedenti o successivi di 15 minuti dall'ora esatta, a meno che non siano già stati usati.
Per migliorare la sicurezza in molte infrastrutture è stato poi aggiunto un sistema di autoapprendimento che tiene conto della discrepanza oraria tra server e token ad ogni transazione. In questo modo il sistema impara da se stesso e può prevedere di quanto sia, grossomodo, lo scarto orario tra le due parti. In questo modo il sistema restringe il campo (e di conseguenza il numero di hashcode accettati) in base all'andamento a lungo termine delle risposte del token.
È un sistema tanto economico quanto efficace ed ha un grado di sicurezza talmente alto (le statistiche dicono che sono tra i sistemi di credenzial di accesso meno bucati in assoluto dopo le smartcard a firma asimmetrica) che viene utilizzato per accessi VPN, per accessi a coordinate e conti bancari, a portali governativi, eccetera.

No no. nei Token della mia banca non c'è nessun orologio. Ogni volta che serve lo accendi e tira fuori il numerino. Ma poi si spegne.

All'interno c'è comunque un orologio che rimane vivo grazie alla batteria (che non togli). Anche se non ti fa vedere l'ora non vuol dire che non ci sia. Fidati.

Grazie, ora è tutto chiaro.

Domanda sui Token ossia le chiavette per i bonifici online.

Domanda sui Token ossia le chiavette per i bonifici online.

Re: Domanda sui Token ossia le chiavette per i bonifici onli

Re: Domanda sui Token ossia le chiavette per i bonifici onli

Re: Domanda sui Token ossia le chiavette per i bonifici onli

Re: Domanda sui Token ossia le chiavette per i bonifici onli

Re: Domanda sui Token ossia le chiavette per i bonifici onli

Re: Domanda sui Token ossia le chiavette per i bonifici onli