В чем заключается принцип работы банковских (и не только) токенов? Вот, например, у меня есть банковский токен, который генерирует, казалось бы, совершенно случайные числа для авторизации в Интернет-банк. Однако банк их как-то распознает и со случайными числами «от балды», естественно, не пускает внутрь.
Расскажите (или скажите, где почитать можно), в чем заключается принцип работы этих токенов?
P.S.: Я знаю, в общем, как устроена, например, авторизация с одноразовыми паролями с синхронизацией по времени (напр. Google Authenticator). Но в моем токене можно спокойно вытащить батарейку, поставить ее обратно — и все будет дальше работать, т.е. никаких часов в нем точно нет. Как тогда узнают друг друга токен и банк?

Предыдущий
вопрос Следующий
вопрос

Принцип работы банковских токенов, таких как у вас описанный, основан на алгоритме генерации одноразовых паролей (OTP - one-time password). Ваш токен содержит секретный ключ, который изначально синхронизирован с сервером банка. Когда вы запрашиваете одноразовый пароль для авторизации, токен использует этот секретный ключ и текущее время для генерации уникального пароля.

При вводе пароля в Интернет-банк, сервер банка также использует секретный ключ и текущее время для генерации этого же пароля. И если полученный пароль от токена совпадает с тем, который сгенерирован на сервере банка, авторизация проходит успешно.

Отсутствие часов в токене не является проблемой, так как синхронизация происходит не только по времени, но и по секретному ключу, который изначально передается от банка к токену. Поэтому даже если вы вытащите батарейку и вставите обратно, токен все равно сможет сгенерировать правильный одноразовый пароль, если он используется в тот же момент времени, что и сервер банка.

Для более подробной информации о работе банковских токенов, вы можете обратиться к документации вашего банка или провести самостоятельное исследование в интернете.