电子令牌是一种特殊的硬件,配备内置电源、密码生成芯片和显示屏。电子令牌会按照特殊的算法定期自动更新动态密码。基于动态密码技术的网银系统也叫OTP系统,即改变用户的认证密码,密码使用一次无效,下次登录时的密码是完全不同的新密码。
电子令牌被广泛地运用于安全认证领域,从而大大提升了网上银行的登录和交易的安全性。采用 TOTP 算法,令牌卡对种子文件和当前时间(令牌卡内部有自己的时钟,不依赖电脑时区)进行运算,以源源不断地产生不同的动态口令,并显示到屏幕上,与此同时,银行服务器会进行同样操作。
时间同步动态密码对令牌卡和服务器的时间同步要求很高,时间错误会导致整个令牌失效,所以每次用户成功使用令牌认证,服务器都会纠正相应的时间错误。具体过程如下:令牌卡根据当前时间计算密码并发送给服务器,服务器再根据当前时间前后的几个时间点计算密码。如果其中一个密码匹配,则认为身份验证成功,并记录错误值。之后,当服务器验证密码时,它会直接将错误值添加到当前时间来计算密码。