Supponendo che la controparte conosca il tuo PIN, e il vettore di inizializzazione per il tuo eToken, tutto ciò che è necessario è che l'eToken abbia un clock .
Usando un qualche schema di amplificazione, eventualmente coinvolgendo di nuovo l'IV, il timestamp (di solito con una risoluzione di un minuto) viene convertito in un buffer sufficientemente grande da subire la crittografia all'interno dell'eToken. Da questo, un token viene estratto e mostrato sul display.
Quando invii il tuo nome utente, il PIN e i dati eToken, il server esegue semplicemente lo stesso calcolo usando la IV che ha nel suo database e verifica che tutti i dati corrispondano (opzionalmente, i valori del token per un minuto prima e un minuto dopo il tempo presente può essere testato, al fine di correggere piccole derive dell'orologio).
--> username, PIN --> "user suraj has IV 12345 and it's now
june 10, 2016, at 17:12. Encrypting
this date with 12345 yields a number
whose last six digits are 488690."
--> token 488690 --> "YES! You are logged in."
Usando eToken standard a sei cifre, e senza accesso al IV che è stato masterizzato nella memoria eToken, c'è una possibilità su un milione che un utente malintenzionato sia in grado di generare un token valido, anche se ha avuto il login dell'account e PIN.
(Di solito, anche questi sistemi si bloccheranno dopo tre o cinque tentativi di inserimento di un token errato).