Token (sicurezza)

Da Wikipedia, l'enciclopedia libera.
Token della RSA Security
Token della VeriSign

Un token per la sicurezza (chiamato anche token hardware, token per l'autenticazione, token crittografico, o semplicemente token) è un dispositivo fisico necessario per effettuare un'autenticazione (tipicamente una autenticazione a due fattori).

Un token si presenta spesso sotto forma di dispositivo elettronico portatile di piccole dimensioni, alimentato a batteria con autonomia nell'ordine di qualche anno, dotato di uno schermo e talvolta di una tastiera numerica. Alcuni token possono essere collegati ad un computer tramite una porta USB per facilitare lo scambio di dati.

Un token può anche essere di tipo software, ove le informazioni necessarie risiedono direttamente nel computer dell'utente, e non in un oggetto esterno.

Funzionamento[modifica | modifica sorgente]

Un token è tipicamente un generatore di numeri pseudocasuali ad intervalli regolari (nell'ordine di poche decine di secondi) secondo un algoritmo che, tra i vari fattori, tiene conto del trascorrere del tempo grazie ad un orologio interno. Altri fattori che influenzano l'algoritmo possono essere il numero di serie del token, o altri codici numerici associati al possessore all'atto della consegna del token.

Lo stesso algoritmo è anche implementato su di un server di autenticazione, che è stato inizialmente sincronizzato con il token e che, quindi, genera la stessa sequenza di numeri pseudocasuali del token negli stessi momenti, pur non essendoci alcuna comunicazione tra i due oggetti.

Tale numero viene combinato con una password nota all'utente ed al sistema di autenticazione per generare una password temporanea, o di sessione, che può essere usata per effettuare l'autenticazione entro la scadenza dell'intervallo temporale.

Di conseguenza, la password temporanea per l'autenticazione sarà diversa in momenti diversi della stessa giornata.

L'autenticazione a due fattori è data dal fatto che per generare la password temporanea corretta è necessario:

  • possedere lo specifico token che, in un dato istante, genera lo stesso numero pseudocasuale generato dal server di autenticazione;
  • conoscere la password di partenza con cui il numero va combinato.

Considerato che la password temporanea scade dopo poche decine di secondi, chi volesse violare la sicurezza dovrebbe non solo indovinare quella valida per il particolare istante, ma dovrebbe anche usarla prima che essa scada. Per questo motivo, un token eleva notevolmente gli standard di sicurezza. Se il violatore volesse avere più tempo per violare la sicurezza dovrebbe scoprire l'algoritmo, che gli permetterebbe di poter continuamente rigenerare la password temporanea. Questi algoritmi però hanno un livello di complessità molto elevata da rendere difficile la decriptazione anche ai computer più potenti al mondo.

Voci correlate[modifica | modifica sorgente]

Altri progetti[modifica | modifica sorgente]

Sicurezza informatica Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica