Tokey-Authentisierung im Detail
Tokeys Methode erfordert zunächst eine Registrierung auf einer sicheren Website mit der Angabe von für Online-Prozesse üblichen Daten wie Name, Adresse, Kontoverbindung etc. Sie erfolgt entweder am PC übers Web oder nach Herunterladen der Tokey-App direkt am Smartphone, jeweils mit Bestätigungs-E-Mail. Bei der folgenden Authentisierung verrührt die Tokey-App die Endgerätenummer (UDI), die beiden Passwörter und den servicespezifischen QR-Code zu zwei verschiedenen Hash-Codes. Der QR-Code kann sich auf Plakaten, Zeitungsanzeigen, Bildschirmen, Verpackungen, Kassenzetteln etc. befinden. Einer der Codes geht an den Daten- und einer an den Key-Server.
Der Daten-Server erkennt anhand des Hashs, wessen und welche Daten für diesen spezifischen Geschäftsvorfall an den Key-Server geschickt werden müssen, wobei diese Daten vor Versendung wiederum mit dem Hash verrechnet werden. Der Key-Server erkennt, dass er gleich Daten vom Daten-Server bekommt, die für einen Geschäftsvorfall bei einem bestimmten Endkunden vorgesehen sind. Er versendet die bei ihm angekommenen Daten über eine SSL-Verbindung an den Applikations-Server des Geschäftskunden, sofern dieser seine Daten noch auf einem eigenen Server aufbewahrt, statt sie einem Dienstleister mit sicherer Server-Infrastruktur zur Aufbewahrung zu überlassen. In letzterem Fall bekommt der Kunde nur noch ein Token, das die Transaktion repräsentiert. Unterschiedliche Tokey-Daten- und Schlüssel/App-Server können untereinander kommunizieren. Liegen also die Daten eines speziellen Endkunden beim Daten-Server X, erkennt die Tokey-Infrastruktur das und sorgt dafür, dass die aktivierte App auf dem Smartphone sich exakt mit diesem Server in Verbindung setzt, um die Abwicklung der Transaktion anzustoßen.
Daten von Tokey-Servern zu stehlen, hilft nicht, denn nur die App auf dem individuellen Endgerät berechnet den richtigen Wert, auf den der Server mit wiederum verschlüsselter Datenversendung reagiert. Der Anwender muss sich für alle Tokey-Authentisierungen lediglich zwei beliebige Passwörter merken. Will man die Tokey-Passwörter nicht direkt an der Kasse eingeben, kann man sie auch schon vor dem Laden aktivieren. Sie sind dann bis zu zwei Stunden betriebsbereit, aber mit stetig sinkendem Sicherheitsniveau. "Jeder Anbieter bestimmt, welches Sicherheitsniveau er will", sagt Tokey-Gründer Jürgen Simon. Für besonders sichere Dienste, etwa Bankautomaten, gibt es QR-Codes, die alle paar Sekunden ausgetauscht werden. Während der Aktivierungszeit muss man nur noch einen Tokey-QR-Code scannen, um den entsprechenden Service zu nutzen, der Rest läuft im Hintergrund. Bei der Berliner Tageszeitung "Tagesspiegel" ist die Tokey-App im Abobereich im Einsatz, Kunden können das kostenlose Probeexemplar eines Genussmagazins darüber bestellen.