Stiamo costruendo un dispositivo fisico. Questo dispositivo deve comunicare con un server remoto. A tal fine, il dispositivo invia per prima cosa una richiesta HTTP (protetta da SSL) per "registrare" il dispositivo con il server, che risponde con un token di stringa unico e lungo generato da un generatore di numeri pseudocasuali crittograficamente sicuro (CSPRNG), che a sua volta è associato a quel dispositivo. Il token viene ritrasferito al dispositivo tramite una connessione SSL. Il dispositivo include quindi questo token insieme ad altre caratteristiche identificative (come un indirizzo MAC e un indirizzo IP) tramite una connessione SSL quando si inviano richieste.
È sufficiente a determinare che il dispositivo di comunicazione è chi dice di essere? Poiché tutte le richieste passano attraverso una connessione SSL, un hacker non sarebbe in grado di rubare facilmente il token, corretto? Un hacker dovrebbe acquisire il dispositivo fisico per estrarre il token, ma ogni dispositivo ha un token univoco, quindi il furto non influisce sulla funzionalità di altri dispositivi nel sistema.