Token (identificatie)
Een token is over het algemeen een reeks cijfers of karakters die 'niet te verzinnen' is. Iemand die in het bezit is van de token kan het dus niet verzonnen hebben en bewijst daarmee de token te hebben.
Dit bewijs wordt op twee manieren gebruikt:
- De token is specifiek aan één persoon (of andere entiteit) uitgegeven en dient ter authenticatie.
- Het geeft het recht om een actie uit te voeren, de token dient dan als autorisatie voor het uitvoeren van een handeling;
Een voorbeeld van een persoonlijk token is een pin (persoonlijk identificatienummer), een reeks van vier cijfers die een klant moet onthouden, en intikken op een geldautomaat bij het opnemen van geld of bij het aanzetten van de gsm om de simkaart te activeren. De bankautomaat leidt uit de gegevens op de pas af wie de klant zou moeten zijn, en authenticeert de klant door hem de pincode te vragen.
Een voorbeeld van het tweede geval is het zogenaamde token-ringnetwerk waarbij computers op een netwerk alleen mogen zenden als ze de token hebben. Een nauwkeurig omschreven protocol zorgt ervoor dat onder normale omstandigheden nooit twee machines de token hebben.
[bewerken] Andere tokens
Een token mag dan niet te verzinnen zijn, het is wel te kopiëren of door bijvoorbeeld social engineering of bedreiging te bekomen. Wanneer een token statisch is zoals de pincode heeft een mogelijke onverlaat alle tijd om de token te achterhalen. Er zijn daardoor steeds meer systemen ontstaan om op lange termijn de veiligheid te garanderen. Tegenwoordig wordt vaak gebruikgemaakt van apparaatjes die een token genereren op het moment dat het nodig is. Deze apparatuur zelf worden ook token genoemd.
Het kan een kaartje zijn met codes waarnaar gevraagd wordt, maar ook een speciaal tijdgesynchroniseerd token. De token zelf dient niet fysiek voor de authenticatie, maar toont op een lcd-schermpje een meercijferige code die na een bepaalde tijd verandert, bijvoorbeeld om de minuut.
Het idee is dat een gebruiker een pincode plus die meercijferige tokencode gebruikt om in te loggen. De meercijferige tokencode is veilig omdat die verandert, en dus niet nagemaakt kan worden, en de bijkomende pincode garandeert dat de gebruiker is wie hij moet zijn.
De tokens gebruiken een speciaal ontworpen algoritme om op een bepaalde tijd een nieuwe unieke meercijferige code te berekenen. Het authenticatiesysteem heeft datzelfde algoritme aan boord en kan dus aan de hand van het identificatienummer van een token berekenen welke cijfercode momenteel zichtbaar is op het lcd-paneeltje van dat token.
Een ander voorbeeld van een token is er een zoals onder andere bij online bankieren wordt gebruikt. De token is een soort kaartlezer en ziet eruit als een kleine rekenmachine. Toegang tot de token verkrijgt men via de bankpas en/of een pincode. Vervolgens wordt op de internetsite voor online bankieren het identificatienummer gevraagd van de token en er wordt een code getoond die men intoetst op de token. Na berekening via een algoritme toont de token een gegenereerd nummer dat men intoetst op de internetsite voor onlinebankieren. Met de combinatie van het token identificatienummer en het gegenereerde nummer maakt de gebruiker zich bekend als geldige gebruiker om online te bankieren.
