Token (chave eletrônica): diferenças entre revisões

 Nota: Se procura Token em informática, veja Token.

Este artigo não cita fontes confiáveis. Ajude a inserir referências. Conteúdo não verificável pode ser removido.—Encontre fontes: ABW  • CAPES  • Google (N • L • A) (Abril de 2012)

Token é um dispositivo eletrônico gerador de senhas, geralmente sem conexão física com o computador, podendo também, em algumas versões, ser conectado a uma porta USB. Existe também a variante para smart cards e smartphones, que são capazes de realizar as mesmas tarefas do token. O modelo OTP (One Time Password) pode ser baseado em tempo (time based), gerando senhas dinâmicas a cada fração de tempo previamente determinada (ex. a cada 36 segundos), ou ainda baseado em evento (event based), gerando senhas a cada clique do botão, sendo essa senha válida até ao momento da sua utilização, não dependendo do tempo.

Existem outras funções do Token OTP, tais como Desafios/Respostas, aonde o usuário lê-se um desafio numérico gerado em um site ou aplicação, digita esse desafio no token e obtém uma resposta que deve ser digitada na página da Internet ou aplicação - essa função tem a finalidade de verificar a veracidade do site ou aplicação. Outra aplicação é a assinatura de transação, onde o usuário digita os dados da transação (ex. dados de uma conta corrente e valor de uma transação de transferência de valores entre contas), o token, com base nesses dados, gera uma senha que serve somente para essa transação - essa função tem a finalidade de proteção contra ataques do tipo [man-in-the-middle]. Já existem dispositivos onde essa função tem a entrada de dados com captura óptica.

Existem variações de Tokens OTP, chamadados de Tokens Híbridos, que suportam também a função PKI (Public Key Infrastructure) ou Tokens Criptográficos, que geram e armazenam as chaves privadas e os certificados digitais, e possuem suporte para vários algoritmos de criptografia como o RSA, DES e 3DES.

Esses dispositivos são, geralmente, utilizados como um fator de segurança adicional em transações financeiras realizadas em canais remotos/Internet - conhecidos como segundo fator de autenticação.

Esse tipo de dispositivo, eleva o nível de segurança e privacidade em caso de roubo de senhas, através de programas espiões como os trojans, mas podem ter seu mecanismo de segurança comprometido caso sejam pré-programados pelo fabricante que fica obrigado a salvaguardar o código criptográfico de cada dispositivo que comercializou. Uma analogia que poderíamos fazer com respeito a isso, seria considerar ter um fabricante de fechaduras com uma cópia de todas as chaves das fechadura que comercializou. Caso ocorra um ataque a essa base de dados tokens falsos poderão utilizar o segredo dos tokens verdadeiros daqueles que foram violados.

Ataques recentes mostram que esse tipo de token (pré-programados pelo fabricante) são pouco efetivos como demonstrado na invasão da Lockheed Martin, fabricante dos caças F22 e F35 do governo dos EUA, em que se utilizou tokens "falsos" para invadir o sistema, utilizando provavelmente código criptográfico roubado da base de dados do fabricante que os programou antes de envia-los ao cliente. para invadir o sistema.

Porém existem tokens que são comercializados "pré-programados" e que podem imprimir um grau de confidencialidade maior, muito mais granular para salvaguardar o segredo criptográfico de cada unidade antes de entrega-la a seus respectivos usuários finais. Tokens como os fabricados pela CRYPTOCard (agora SafeNet) eliminam esse inconveniente; São comercializados sem programação alguma e possuem equipamento e sistema próprio (inicializadores) que permite programa-los de forma segura e confidencial dentro da empresa que irá utiliza-los antes de chegar nas mãos de cada usuário.

• «Brtoken» 
• «Safenet» (em inglês) 
• «Token Bancário - Como Funciona» 

Este artigo sobre computação é um esboço. Você pode ajudar a Wikipédia expandindo-o. v d e