Tra le innovazioni introdotte grazie alla diffusione di internet, la gestione del proprio conto bancario da casa (tramite il cosiddetto home banking, o anche tramite acquisti online di prodotti e servizi), è un qualcosa a cui ormai in pochi vorrebbero rinunciare, grazie alla facilità di utilizzo e alle lunghe file agli sportelli che riesce a fare evitare! Come quasi ogni cosa però, anche questa ha un prezzo, e il prezzo da pagare per tale comodità è sicuramente la ridotta sicurezza. Non è raro sentire notizie di persone che si sono ritrovate il conto svuotato senza nemmeno accorgersene. La sicurezza è diventato quindi un aspetto cruciale per l’home banking e più in generale per l’uso del proprio denaro su internet.
Una delle misure di sicurezza adottate dalle banche è appunto l’utilizzo dei token. Questi dispositivi elettronici, spesso chiamati anche “chiavette”, sono dei piccoli apparecchi che generano dei codici numerici, apparentemente casuali, che hanno una validità di alcune decine di secondi. Questi codici sono infatti necessari per svolgere varie operazioni, che si tratti dell’ingresso nel proprio profilo bancario (per il quale spesso, oltre a questo codice, è richiesto un PIN) o della autorizzazione ad effettuare un pagamento online per un acquisto su siti di e-commerce. In tutti questi casi, all’utente viene richiesto, come misura di sicurezza, di inserire il codice temporaneo indicato appunto in quel momento nel token. In questo modo si conferma che l’operazione è svolta dal titolare della carta, o comunque da chi in quel frangente ha a disposizione il token (chiaro che se il token fosse rubato ci sarebbe poco da fare, per cui si consiglia di tenerlo al sicuro!).
Ma come fa il sito o portale su cui si sta operando a sapere che il codice inserito è effettivamente quello indicato, in quello specifico momento, nel token? Per chi se lo chiedesse, no, il token non ha alcuna forma di connessione ad internet, né altra forma di rete, ma è perfettamente isolato. Com’è possibile allora questo funzionamento così perfettamente coordinato?
La risposta a questo mistero sta in un algoritmo. Il codice che viene prodotto dal token non è infatti realmente casuale, ma è prodotto da uno specifico algoritmo, che tiene conto della data e dell’ora (grazie ad un orologio interno), dei dati del proprietario del token, e di vari altri fattori variabili. In tal modo esso genera uno specifico codice sulla base di questi elementi. Lo stesso algoritmo è utilizzato anche su un server, che richiede il codice per far procedere con l’operazione. In tal modo, il sito/portale su cui ci si trova sa già in anticipo, attraverso la comunicazione con il server, quale dovrebbe essere il codice prodotto, in base all’ora e al proprietario del token. Se il codice inserito corrisponde a quello atteso l’autenticazione riesce e si può andare avanti a spendere i propri soldi con più serenità!