Un mic exemplu cred ca vi-l pot da eu, detaliile tehnice probabil ca nu mai sunt de actualiate, pentru ca provin de la un curs foarte scurt de criptografie la care am asistat acum in jur de 15 ani.
Un token/e-token bancar genereaza acel asa-numit one time password (OTP) folosind un algoritm criptografic care face uz de un asa-numit seed, o valoare initiala asupra careia se aplica operatiuni matematice destul de complexe. Pentru un id de utilizator anume, la nivelul serverelor bancii, dar si in software-ul e-token-ului, respectiv firmware-ul token-ului, acel seed poate fi generat pe baza momentului de timp la care e utilizat token-ul. Astfel ca atat clientul (token-ul), cat si serverul (generatorul pseudoaleator de la nivelul serverelor bancii), pot genera acel seed si se pot pune de acord la momentul autentificarii clientului.
Daca cumva algoritmul respectiv e spart, in principiu un atacator poate genera parolele pentru orice id de utilizator.
Daca un token / e-token ar incorpora o metoda trully random de a genera acel seed (cum anume ar putea face asta simultan la distanta, si serverul bancii, nu stiu), acest pericol ar disparea.
Din cate imi amintesc de atunci, riscul e minimizat, pe de o parte, prin folosirea de operatii matematice foarte complexe, cat si prin limitarea validitatii unei OTP la doar cateva secunde de la generare...
Repet, e posibil ca astea sa fie chestiuni expirate de ani buni...