Meilleure réponse
Je ne suis pas tout à fait sûr, mais il semble que SafePass ne soit quun simple jeton de génération dOTP.
Cela utilise probablement lalgorithme HOTP basé sur un compteur ( Algorithme de mot de passe à usage unique basé sur HMAC ) tel que défini par RFC 4226 ( HOTP: un algorithme de mot de passe à usage unique basé sur HMAC ).
Il pourrait également utiliser un algorithme TOTP basé sur le temps ( Algorithme de mot de passe à usage unique basé sur lheure ) mais étant donné la taille de la carte, un tel appareil expirerait plus tôt en raison de lutilisation de la batterie pour maintenir lhorloge.
Cartes de ces Les facteurs de forme produisent des mots de passe à usage unique (OTP) depuis près dune décennie. Ils ont une petite batterie, une puce qui stocke la clé secrète, un « bouton » qui déclenche la génération OTP et un écran e-ink basse consommation qui nécessite uniquement de lénergie pour changer laffichage avec le nouveau mot de passe.
La façon dont ces mots de passe et jetons OTP sont synchronisés avec un site Web sont quelque chose de similaire à:
1. Le fabricant de lappareil place une clé secrète sur la carte et associe la clé secrète à un numéro de série qui est imprimé quelque part sur la carte.
2. un groupe de cartes est fourni au propriétaire du site Web (banque, etc.) avec un fichier (généralement crypté) contenant une liste de numéros de série de cartes et la clé secrète associée.
3. vous commandez cette carte spéciale sur le site Web (aka banque, paypal, etc.) et le site Web associe lidentifiant de la carte à votre compte.
4. vous «enregistrez» votre carte sur le site Web en passant par un processus spécial avec le site Web. vous appuyez sur un bouton de la carte pour obtenir un code (OTP) que vous fournissez au site Web. La carte utilise un compteur qui commence à 0 et compte à chaque pression de bouton (1, 2, 3, …). Le site Web recherche la carte associée à votre compte et utilise un logiciel spécial avec la clé secrète associée à la carte pour calculer le même OTP avec une valeur de compteur de 0. Si cela ne correspond pas, il essaie la valeur de compteur suivante (1) et continue jusquà un certain maximum jusquà ce quil trouve une correspondance ou ne t (erreur). parfois, il vous demandera quelques valeurs OTP daffilée pour mieux trouver une correspondance. si une correspondance est trouvée, il enregistre la valeur du compteur pour votre compte pour référence future.
5. lorsque vous vous connectez, vous fournissez votre nom dutilisateur, votre mot de passe et votre OTP. Certains sites Web vous permettent dajouter lOTP après votre mot de passe. Le logiciel serveur spécial calcule ce quil pense être lOTP pour la valeur de compteur suivante pour votre compte et votre carte. Si vous avez appuyé sur le bouton plusieurs fois, le serveur vérifiera quelques valeurs de compteur à lavance pour voir sil trouve une correspondance.
6. Si lOTP correspond, le site Web a authentifié votre mot de passe et lOTP de la carte qui vous a été attribuée. Il sagit dune authentification à deux facteurs: quelque chose que vous savez (mot de passe) quelque chose que vous avez (la carte / le jeton qui vous est attribué).
Un fournisseur qui fabrique ces types de jetons est Nagra ID: NagraID Fabricant suisse de cartes à puce haut de gamme
Réponse
Pas différent dun jeton dur que vous utilisez pour vous connecter à un VPN. Vous ne le synchronisez pas vraiment avec le site Web que vous venez de générer et de valider le jeton avec lalgorithme / la cryptographie asymétrique.