Token (identificatie)
Een token is over het algemeen een reeks cijfers of karakters die geheim is en soms ook uniek. Iemand die in het bezit is van een correct token heeft dit hoogstwaarschijnlijk niet geraden en bewijst daarmee het token te hebben.
Dit bewijs wordt op twee manieren gebruikt:
- Het token is specifiek aan één persoon (of andere entiteit) uitgegeven en dient ter authenticatie.
- Het geeft het recht om een actie uit te voeren. Het token dient dan als autorisatie voor het uitvoeren van een handeling.
Een voorbeeld van een persoonlijk token is een pin (persoonlijk identificatienummer), een reeks van vier cijfers die een klant moet onthouden en intikken op een geldautomaat bij het opnemen van geld of bij het aanzetten van de gsm om de simkaart te activeren. De bankautomaat leidt uit de gegevens op de pas af wie de klant zou moeten zijn, en controleert de identiteit van de klant door hem de pincode te vragen.
Een voorbeeld van het tweede geval is het zogenaamde token-ringnetwerk waarbij computers op een netwerk alleen mogen zenden als ze het token hebben. Een nauwkeurig omschreven protocol zorgt ervoor dat onder normale omstandigheden nooit twee machines het token hebben.
Andere tokens
[bewerken | brontekst bewerken]Een token mag dan niet te verzinnen zijn, het is bij sommige oplossingen wel te kopiëren of door bijvoorbeeld social engineering of bedreiging te bekomen. Wanneer een token statisch is zoals de pincode heeft een mogelijke kwaadwillende alle tijd om het token te achterhalen. Er zijn daardoor steeds meer systemen ontstaan om op lange termijn de veiligheid te garanderen. Tot ca. 2010 werd vooral gebruikgemaakt van apparaatjes die een token genereren op het moment dat het nodig is. Deze apparatuur zelf wordt ook token genoemd. Sinds de opkomst van de smartphone (9 januari 2007 werd de iPhone geïntroduceerd) wordt in plaats van een token veelal gebruik gemaakt van authenticatie Apps op een smartphone.
Het kan een kaartje zijn met codes waarnaar gevraagd wordt, maar ook een speciaal tijdgesynchroniseerd token. Het token zelf dient niet fysiek voor de authenticatie, maar toont op een lcd-schermpje een meercijferige code die na een bepaalde tijd verandert, bijvoorbeeld om de minuut.
Het idee is dat een gebruiker een pincode plus die meercijferige tokencode gebruikt om in te loggen. De meercijferige tokencode is veilig omdat die verandert, en dus niet nagemaakt kan worden, en de bijkomende pincode garandeert dat de gebruiker is wie hij moet zijn.
De tokens gebruiken een speciaal ontworpen algoritme om op een bepaalde tijd een nieuwe unieke meercijferige code te berekenen. Het authenticatiesysteem heeft datzelfde algoritme aan boord en kan dus aan de hand van het identificatienummer van een token berekenen welke cijfercode op het moment van inloggen zichtbaar is op het lcd-paneeltje van dat token.
Een ander voorbeeld van een token is er een zoals onder andere bij online bankieren wordt gebruikt. Het token is een soort kaartlezer en ziet eruit als een kleine rekenmachine. Toegang tot het token verkrijgt men via de bankpas en/of een pincode. Vervolgens wordt op de internetsite voor online bankieren het identificatienummer gevraagd van het token en er wordt een code getoond die men intoetst op het token. Na berekening via een algoritme toont het token een gegenereerd nummer dat men intoetst op de internetsite voor online bankieren. Met de combinatie van het token-identificatienummer en het gegenereerde nummer maakt de gebruiker zich bekend als geldige gebruiker om online te bankieren.