Tokeny na dobre zagościły w firmach, gdzie są wykorzystywane do uwierzytelnienia przy dostępie do szczególnie ważnych firmowych aplikacji lub zasobów via VPN. Token jest niedużym urządzeniem, które wyświetla hasło jednorazowe ważne tylko przez krótką chwilę albo umożliwia wprowadzenie kodu podawanego przez serwer (challenge). Serwer jest podpisany przez token, dając odpowiedź w postaci kodu, który należy wprowadzić do aplikacji (response). W takim przypadku token jest chroniony kodem PIN.

Aby system uwierzytelnienia działał, obie strony muszą posiadać tajny kod, który determinuje wskazania tokenu - jest to tzw. plik seed.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• FBI ostrzega - masowy atak phishingowy w USA
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Najpopularniejszym tokenem używanym w Polsce jest RSA Securid, przeważnie w formie breloczka lub karty. Token taki jest zaprogramowany przez producenta, przy czym nie ma możliwości zmiany kodu seed, zatem w przypadku ujawnienia go moc ochrony rażąco spada, gdyż wskazania tokenu można odtworzyć. Plik seed jest dołączany do każdej sprzedanej partii tokenów i podlega importowaniu do serwera uwierzytelnienia. Zazwyczaj plik seed jest dobrze chroniony w organizacji, która kupiła tokeny, zatem oprócz firmy jedynym podmiotem, który te kody znał, był producent.

Po włamaniu do serwisów RSA opublikowano jedynie oficjalną informację o tym fakcie, z której można wywnioskować, że skradziona została część bazy zawierającej kody seed.