מהו טוקן?
טוקן (Token) או “אסימון” יכול להתייחס למושגים שונים בהתאם להקשר שבו הוא משמש.
להלן מספר פרשנויות נפוצות:
מחשוב וטכנולוגיית מידע: במחשוב, טוקן (Token) הוא סוג של נתונים המייצגים פיסת נתונים אחרת ומורכבת יותר.
הוא משמש בתהליכים כמו אימות, כאשר אסימון מייצג את האישורים או ההפעלה של המשתמש, ומאפשר לו לגשת
למערכת או לשירות מבלי לספק שוב ושוב את פרטי ההתחברות שלו.
טוקן זה נראה ביישומי אינטרנט בצורה של JWE, המשמשים להעברת מידע מאובטח בין צדדים.
מטבעות קריפטוגרפיים ובלוקצ’יין: בתחום מטבעות הקריפטו וטכנולוגיית הבלוקצ’יין, טוקן מתייחס ליחידת ערך
שהונפקה על ידי פרויקט או ארגון ב- blockchain.
טוקנים אלה יכולים לייצג נכסים או שירותים שונים וניתן לסחור, למכור אותם או להשתמש בהם בתוך מערכת אקולוגית ספציפית.
דוגמאות כוללות אסימונים המשמשים ביישומי פיננסים מבוזרים (DeFi), אסימונים שאינם ניתנים לשינוי (NFT) המייצגים נכסים דיגיטליים
או בעולם האמיתי, ואסימוני שירות המספקים גישה לשירות או לפונקציה בפלטפורמה מבוססת בלוקצ’יין.
בלשנות: בבלשנות, טוקן הוא מופע של ביטוי לשוני.
אם אתה מחשיב את המילה “תפוח”, בכל פעם שהיא משמשת, כל התרחשות היא טוקן מאותו “סוג” (המושג המופשט של “תפוח”).
בהקשר זה, “סוג” מתייחס למילה או לביטוי הספציפיים, ו”אסימון” מתייחס לכל מופע בודד של אותה מילה או ביטוי כפי שהם משמשים בתקשורת.
משחקים ופריטי אספנות: בהקשרי משחקים ואספנות, אסימון עשוי להתייחס לאובייקט פיזי או דיגיטלי המייצג משהו אחר, כגון דמות,
נכס או מטבע בתוך משחק.
אסימונים פיזיים עשויים להיות חלקים המשמשים במשחקי לוח, בעוד שאסימונים דיגיטליים יכולים להיות פריטים או מטבע בתוך
משחקי וידאו או סביבות וירטואליות.
אבטחה: באבטחה, טוקן אבטחה (או אסימון חומרה) הוא מכשיר פיזי המשמש כדי לקבל גישה למשאב מוגבל אלקטרונית.
הטוקן משמש להוכחת זהותו אלקטרונית, כמו במקרה של כרטיס חכם או טוקן שיוצר סיסמה חד פעמית (OTP).
כל פרשנות של “טוקן” חולקת את הנושא המשותף של ייצוג משהו אחר, בין אם זה גישה, ערך, זהות או נתונים.
המשמעות הספציפית תלויה במידה רבה בהקשר שבו נעשה שימוש במונח.
איך טוקן עובד?
הפונקציונליות של טוקן משתנה מאוד בהתאם להקשר שלו (למשל, מחשוב, בלוקצ’יין, אבטחה).
להלן הסבר פשטני כיצד פועלים טוקנים בכמה הקשרים נפוצים:
טוקן בתחום המחשוב ואימות אינטרנט (לדוגמה, JSON Web Tokens – JWT)
יצירה: שרת מייצר טוקן לאחר אימות מוצלח של משתמש.
טוקן זה מקפל את זהות המשתמש וההרשאות בפורמט קומפקטי ומקודד.
שידור: הטוקן נשלח בחזרה ללקוח של המשתמש (למשל, דפדפן אינטרנט) ומאוחסן באופן מקומי (בזיכרון או באחסון מקומי).
שימוש: כאשר הלקוח מגיש בקשות עוקבות לשרת, הוא כולל את הטוקן בכותרות הבקשה.
זה משמש כהוכחה לזהות וההרשאות של המשתמש ללא צורך לשלוח שוב אישורים.
אימות: השרת מפענח את הטוקן באמצעות מפתח סודי או זוג מפתחות ציבורי/פרטי כדי לאמת את האותנטיות והתקינות שלו.
אם הטוקן תקף, השרת מעבד את הבקשה לפי ההרשאות המקודדות בטוקן.
תפוגה: לטוקנים יש זמן תפוגה. לאחר שפג תוקפו, על הלקוח לבצע אימות מחדש כדי לקבל טוקן חדש.
טוקן בתחום הבלוקצ’יין ומטבעות הקריפטו
יצירה: אסימונים ב-blockchain נוצרים באמצעות חוזה חכם, המגדיר את הכללים להנפקה, העברה ואינטראקציות
אחרות שלהם.
החוזה החכם הזה נפרס על הבלוקצ’יין.
בעלות: בעלות ועסקאות של אסימונים אלה נרשמות בבלוקצ’יין, מה שהופך אותם למאובטחים ומוגנים מפני חבלה.
כאשר למישהו יש אסימון, זה אומר שיש רשומה בבלוקצ’יין המציינת שכתובת ארנק מסוימת שולטת באסימון הזה.
העברה: כאשר אסימון מועבר מאדם אחד לאחר, נוצרת עסקה ומועברת לבלוקצ’יין.
עסקה זו, לאחר אימות והוספת לבלוק על ידי כורים או מאמתים, מעדכנת את ספר החשבונות כך שישקף את השינוי בבעלות.
תועלת: אסימונים יכולים לייצג נכסים או זכויות שונות, מאסימונים פשוטים דמויי מטבע ועד לייצוגים מורכבים של נכסים פיזיים,
זכויות גישה או מניות בפרויקט.
החוזה החכם קובע כיצד ניתן להשתמש באסימונים הללו בתוך המערכת האקולוגית.
אסימוני אבטחה (פיזיים או דיגיטליים)
אתחול: אסימון אבטחה מאותחל עם מפתח סודי או אישור דיגיטלי המזהה את המשתמש באופן ייחודי.
אימות: כאשר מתבקשת גישה למשאב מאובטח, האסימון מייצר סיסמה חד פעמית (OTP) או משתמש בתעודה הדיגיטלית
המאוחסנת כדי להוכיח את זהות המשתמש.
אימות: השרת או מערכת האבטחה מאמתים את ה-OTP או החתימה הדיגיטלית מול הסוד או האישור הידועים עבור אותו אסימון.
אם האימות הצליח, ניתנת גישה.
תפוגה וביטול: ל-OTP יש תוקף קצר מאוד, לרוב רק כמה דקות.
ניתן לבטל אישורים או מפתחות דיגיטליים או לפוג לאחר תקופה מוגדרת, המחייבת הנפקה מחדש לצורך המשך השימוש.
אלטרנטיבות לשימוש בטוקנים
בהקשרים שונים שבהם נעשה שימוש בטוקנים, כמו אימות, בלוקצ’יין ואבטחה, ישנן טכנולוגיות ושיטות חלופיות
שיכולות לשרת מטרות דומות.
להלן סקירה כללית של כמה חלופות לאסימונים באזורים אלה:
אימות
קובצי Cookie של הפעלה: באופן מסורתי נעשה שימוש בקובצי Cookie של הפעלה לניהול הפעלות של משתמשים ביישומי אינטרנט.
בניגוד לאסימונים, המאוחסנים בצד הלקוח, מזהי הפעלה המאוחסנים בקובצי Cookie נשלחים לשרת עם כל בקשה, שם השרת מתאים
אותם לנתוני ההפעלה המאוחסנים.
OAuth: OAuth הוא תקן פתוח להאצלת גישה, המשמש כדרך למשתמשי אינטרנט להעניק לאתרים או ליישומים גישה למידע
שלהם באתרים אחרים, אך מבלי לתת להם את הסיסמאות.
זוהי יותר מסגרת מאשר חלופה ישירה אך מציעה גישה שונה לאימות והרשאה של משתמשים.
SAML (Security Assertion Markup Language): SAML הוא תקן להחלפת נתוני אימות והרשאות בין צדדים, במיוחד,
בין ספק זהות לספק שירות.
הוא משמש בניהול זהויות מאוחדות בארגון.
בלוקצ’יין ומטבעות קריפטו
מסדי נתונים מרכזיים: מסדי נתונים מסורתיים המנוהלים על ידי רשות מרכזית יכולים לעקוב אחר בעלות על נכסים,
למרות שהם חסרים את תכונות הביזור והאבטחה של טכנולוגיית הבלוקצ’יין.
ספרי חשבונות דיגיטליים: צורות אחרות של ספרי חשבונות דיגיטליים וטכנולוגיות מסד נתונים מבוזרות שאינן משתמשות בבלוקצ’יין
או באסימונים יכולות גם לרשום עסקאות ובעלות על נכסים בצורה מאובטחת.
אישורים דיגיטליים: עבור יישומים מסוימים, אישורים דיגיטליים שהונפקו על ידי רשות מהימנה יכולים לשרת מטרה דומה לאסימוני בלוקצ’יין,
במיוחד באימות מקוריות ובעלות על נכסים דיגיטליים או פיזיים.
אבטחה
ביומטריה: שיטות אימות ביומטריות (כגון טביעות אצבע, זיהוי פנים, סריקות קשתית וזיהוי קול) מספקות דרך ישירה לאמת
את זהותו של אדם ללא צורך באסימונים או סיסמאות.
כרטיסים חכמים: דומה לאסימונים אך דורשים מכשיר פיזי (כרטיס) המוכנס לקורא. הם עשויים להכיל שבב
שיכול לעבד נתונים, מה שמוסיף שכבת אבטחה נוספת.
מפתחות פיזיים: מפתחות אבטחה פיזיים (כגון YubiKey) יכולים לשמש לאימות דו-גורמי, לספק אובייקט פיזי שחייב להיות נוכח כדי
לקבל גישה למשאבים מאובטחים, בדומה לאסימוני אבטחה, אך עם אינטראקציות פשוטות יותר.
מטרות כלליות
מפתחות API: בפיתוח תוכנה, מפתחות API משרתים מטרה דומה לאסימונים בשליטה בגישה לממשקי API, אך הם
פחות מאובטחים, מכיוון שהם אינם כוללים מנגנונים מובנים לתפוגה, ביטול או יצירה דינמית.
אישורים ותשתית מפתח ציבורי (PKI): אישורים דיגיטליים ו-PKI מספקים מסגרת להצפנה וחתימה דיגיטלית,
המבטיחים תקשורת מאובטחת ואימות על ידי אימות הזהות של הצדדים המתקשרים.