La mejor respuesta
No estoy del todo seguro, pero parece que SafePass es solo un simple token de generación de OTP.
Esto probablemente usa el algoritmo HOTP basado en contador ( Algoritmo de contraseña de un solo uso basado en HMAC ) como lo define RFC 4226 ( HOTP: Un algoritmo de contraseña de un solo uso basado en HMAC ).
Alternativamente, podría estar usando un algoritmo TOTP basado en el tiempo ( Algoritmo de contraseña de un solo uso basado en el tiempo ) pero dado el tamaño de la tarjeta, dicho dispositivo caducaría antes debido al uso de la batería para mantener el reloj.
Tarjetas de estos Los factores de forma han estado produciendo contraseñas de un solo uso (OTP) durante casi una década. Tienen una batería pequeña, un chip que almacena la clave secreta, un «botón» que activa la generación OTP y una pantalla de tinta electrónica de bajo consumo que solo requiere energía para cambiar la pantalla con la nueva contraseña.
La forma en que se utilizan estas contraseñas y tokens de OTP sincronizados con un sitio web son algo similar a:
1. El fabricante del dispositivo coloca una clave secreta en la tarjeta y asocia la clave secreta con un número de serie que está impreso en algún lugar de la tarjeta.
2. Se proporciona un grupo de tarjetas al propietario del sitio web (banco, etc.) junto con un archivo (generalmente encriptado) que contiene una lista de números de serie de tarjetas y la clave secreta asociada.
3. solicita esta tarjeta especial en el sitio web (también conocido como banco, paypal, etc.) y el sitio web asocia el ID de la tarjeta con su cuenta.
4. usted «registra» su tarjeta en el sitio web mediante un proceso especial con el sitio web. presiona un botón en la tarjeta para obtener un código (OTP) que proporciona al sitio web. La tarjeta usa un contador que comienza en 0 y cuenta hacia arriba con cada pulsación de botón (1, 2, 3, …). El sitio web busca la tarjeta asociada con su cuenta y utiliza un software especial con la clave secreta asociada con la tarjeta para calcular la misma OTP con un valor de contador de 0. Si eso no coincide, intenta el siguiente valor de contador (1) y continúa hasta un máximo hasta que encuentra una coincidencia o no lo hace (error). a veces le pedirá algunos valores OTP seguidos para encontrar mejor una coincidencia. si se encuentra una coincidencia, registra el valor del contador de su cuenta para referencia futura.
5. cuando inicia sesión, proporciona su nombre de usuario, contraseña y OTP. Algunos sitios web le permiten agregar la OTP después de su contraseña. El software de servidor especial calcula lo que cree que es la OTP para el próximo valor del contador para su cuenta y tarjeta. Si presionó el botón varias veces, el servidor verificará algunos valores de contador antes para ver si encuentra una coincidencia.
6. Si la OTP coincide, entonces el sitio web ha autenticado su contraseña y la OTP de la tarjeta que se le asignó. Esta es la autenticación de dos factores: algo que sabe (contraseña) algo que tiene (la tarjeta / token que se le asignó).
Un proveedor que fabrica este tipo de tokens es Nagra ID: NagraID Fabricante suizo de tarjetas inteligentes de gama alta
Respuesta
No es diferente a un token duro que usa para conectarse a una VPN. Realmente no lo está sincronizando con el sitio web, solo está generando y validando el token con el algoritmo / criptografía asimétrica.