Por lo que he visto en internet, las personas realmente no saben cómo funciona el Token Bancario; por ello, haré una explicación sencilla. Espero que ayude; si tiene dudas, comente en esta página e intentaremos resolverlas.
El Token es un dispositivo creado para generar contraseñas numéricas que permiten el acceso dentro de un intervalo de tiempo determinado.
En general, este intervalo es de 30 a 60 segundos. La mayoría de los Tokens hoy en día trabajan con 36 segundos.
Cada Token está identificado por un número de serie, generalmente escrito en él o en una etiqueta. Conocer el número de serie es esencial, ya que fue asignado en la línea de montaje y no puede ser sustituido.
Hagamos un experimento práctico.
Token (Número de serie 36-107898-1)
El Token tiene un reloj interno (la batería dura en promedio 5 años). Este reloj cuenta segundo a segundo, pero los cálculos toman en cuenta el valor exacto en un tiempo determinado, generalmente 30 segundos.
Veamos una simulación.
El Token toma una unidad de tiempo (hora, minuto, segundo), realiza un cálculo que involucra un código interno único y el resultado es la contraseña que aparece en la pantalla.
| Hora | Código/Clave Interna del Token | Resultado Contraseña |
| 1º día 15:01:05 |
36-107898-1 |
678420 |
| 1º día 15:01:57 |
36-107898-1 |
787654 |
| 1º día 15:01:57 | 36-107898-1 | 098653 |
| 1º día 15:01:57 | 36-107898-1 | 124232 |
Cada 30 segundos, si presiona el botón del Token, este toma una clave interna única (aquí colocamos el número de serie, pero puede ser cualquier valor guardado en él y en la base de datos del banco) y realiza un CÁLCULO junto con la hora y el día, produciendo así un número nuevo siempre.
¿Y cómo sabe el Banco cuál será mi contraseña?
Sucede que en el momento en que activó su Token, el empleado del Banco, ya sea presencialmente o por teléfono, registró en el sistema este 'número único', por lo que quedó vinculado a su cuenta.
Así, cuando el Banco le pide que genere una contraseña, ya posee el número único y realiza un cálculo idéntico. Generalmente, la computadora del banco toma en consideración un rango de 90 segundos para evitar problemas con posibles retrasos.
Cuando usted se identifica en el Banco (agencia, contraseña, alias y contraseña de acceso), el banco genera una contraseña dentro del margen de posibilidad:
329879 ( para el 23º día 16:07:01)
765902 ( para el 23º día 16:07:31)
093765 ( para el 23º día 16:08:09)
Entonces, se le da el momento oportuno para ingresar una contraseña: Usted ingresa 765902, el banco identifica que es una contraseña válida para ese período y permite su acceso.
Por regla general:
Si la contraseña del Token ES IGUAL a la contraseña del Banco -> Acceso permitido.
Si la contraseña del Token ES DIFERENTE a la contraseña del Banco -> Acceso denegado.
Es muy sencillo. Ocurren dos cálculos: uno en el Token y otro en el programa interno del banco.
Cálculo del Token = Cálculo del banco -> acceso permitido; SI es diferente, acceso denegado.
¿Qué cálculo es este?
Existen muchas formas de cálculo; hoy en día, RSA es la más utilizada. Los dispositivos conocidos en inglés como SecurID generan contraseñas diferentes en intervalos de tiempo, un cálculo posible solo gracias a la tecnología. Estamos hablando de una calculadora. (Curiosidad) En marzo de 2011, hackers lograron robar la 'semilla' del cálculo, lo que causó mucha inseguridad en esta herramienta, pero hasta que sea superada por otra, se entenderá como una tecnología válida.
¿Es posible descubrir la contraseña interna a través de un resultado o varios?
No.
Es un tipo de criptografía que no permite la 'reversión'. Así, usted tiene una contraseña A que, sometida a un cálculo B, tiene como resultado C.
A -> B = C
Sin embargo, el usuario solo puede visualizar C y, aunque conociera B, se trata de un logaritmo que hasta el momento parece imposible de decodificar.
Ejemplos:


En Brasil, BRToken ofrece diversos servicios; vale la pena echar un vistazo al manual explicativo:
http://www.brtoken.com.br/catalogosPT2010/SafeSIGNATURE.pdf (El enlace fue modificado, BrToken pasó a llamarse DataLink, véase http://www.datablink.com/ )
Vea las instrucciones de patente; este token ofrecido por la empresa es capaz de leer información de la pantalla de la computadora (recibe señales de luz parpadeantes).
----------------------------------------

(Véanse las referencias al final y en el manual cuyo enlace está en esta página)
SafeSIGNATURE es mucho más que un simple token OTP (One-Time Password) común. Posee una metodología innovadora, capaz de generar una contraseña basada en tiempo (usando el estándar OATH-TOTP) y, adicionalmente, un recurso de firma de transacciones, utilizando tecnología propia para lectura y captura de información de la transacción a partir de una imagen parpadeante generada en la pantalla de una computadora o proyección.
SafeSIGNATURE “fotografía” su operación ofreciendo tranquilidad y seguridad.
El usuario acompaña la transacción paso a paso, ya sea en Internet Banking o en e-Commerce, y finaliza la operación con una autenticación/firma.
Características:
- Solo el portador del token efectúa la transacción.
- La contraseña dinámica (OTP) solo se utilizará en el momento de la transacción.
- Si se alteran, los valores de la operación serán detectados, rechazados e invalidados.
- Protección total contra ataques como troyanos, phishing, Man-in-the-Middle y Man-in-the-Browser.
- Protección contra firma ciega de transacciones. El usuario ve y verifica lo que está transaccionando.
- Producto nacional, excelente relación costo-beneficio y soporte técnico local.
- Sistema de captura de datos de pantalla: comodidad y seguridad para el cliente, ya que no tendrá que ingresar los datos de la transacción nuevamente.
- Totalmente personalizable en color y botón (con el logotipo del cliente).
- Se pueden añadir mensajes a la pantalla, que surgirán automáticamente para que el usuario acompañe y sepa exactamente qué está validando en la transacción.
Patentes
pointSET™ U.S. Pat No. 6,466,145
INPI PI 0700657-8
----------------------------------------



