Do banky s elektronickým klíčem
Jednorázová hesla lze úspěšně využít například pro zabezpečení styku klienta s jeho bankou skrze nezabezpečený přenosový kanál. Uživatelé českého Internetu nejspíše dobře znají příklad Expandia banky, která toto řešení použila v ČR jako první. Svým klientům rozdala známé "elektronické klíče", vyhlížející jako malé kalkulačky. Kdykoli pak klient potřebuje předat bance nějaký příkaz, vygeneruje mu elektronický klíč číslo (označované jako certifikační údaj, v zásadě ale jde o jednorázové heslo číselného charakteru) , které je navíc závislé na požadované transakci (klient musí do svého el. klíče zadat čísla účtů zúčastněných na transakci, výši částky a další údaje). Požadavek na příslušnou transakci pak může být od klienta k bance přenesen i takovým prostředím, které není chráněno proti odposlechu - pokud by totiž někdo odposlechnul jednorázové heslo (certifikační údaj) a chtěl jej použít znovu, pro potvrzení jiné transakce, banka to pozná a požadavek odmítne (ostatně i proto, že certifikační údaj je závislý na parametrech transakce, a při jejich změně stejně nebude "sedět").
V nedávné době přitom Expandia banka přišla ještě s další inovací tohoto postupu. Nenutí již své klienty vlastnit elektronický klíč v jeho fyzické podobě (což nutně zvyšuje náklady na vedení účtu), a místo toho pro ně příslušný certifikační údaj generuje sama. Vygenerovaný údaj (jednorázové heslo) pak pošle klientovi jinou cestou, konkrétně na jeho mobilní telefon, a vyžaduje, aby klient tento údaj přepsal do svého požadavku na transakci. Ověření identity klienta (autentikace) a následná autorizace je zde tedy realizována skrze to, že bance s vrátí stejný údaj, jaký ona zaslala oprávněnému klientovi. Případné odposlechnutí tohoto jednorázové údaje je opět k ničemu, protože tento údaj nelze znovu použít (dokonce ani s ním předběhnout řádnou transakci a využít jej pro požadavek na jinou transakci, protože certifikační údaj je nejen jednorázový, ale navíc závislý i na parametrech transakce).
Kreditní karty na jedno použití
Zajímavý způsob využití jednorázových hesel se nedávno objevil i v oblasti placení pro Internetu prostřednictvím kreditních karet, kde je požadavek na bezpečnost a nemožnost zneužití samozřejmě velmi imperativní. Tradiční problém s placením kartami skrze Internet je v tom, že někdo neoprávněný se může zmocnit identifikačních údajů o kartě a tyto následně zneužít k nějaké neoprávněné transakci. Vzhledem ke specifice Internetu (i celého on-line světa) totiž není možné vázat příslušnou transakci na fyzické vlastnictví karty (kterou po Internetu nemůžete nikomu podat do ruky), a místo toho je nutné vystačit jen s identifikačními údaji karty (jménem majitele, číslem, expirací atd.). Tyto údaje přitom mohou být získány neoprávněnou osobou jak na Internetu (ať již při přenosu, nebo při jejich zpracování u obchodníka i jinde), tak i zcela mimo Internet, například při placení v restauraci, v obchodě apod.
Řešením, které se objevilo právě u kreditních karet, je použití jednorázového (jednorázově použitelného) údaje v roli čísla kreditní karty. Lze si představit, že jde o číslo klasické kreditní karty určené pouze k jednorázovému použití - autorizační centrum bude totiž autorizovat pouze první požadavek na platbu z této karty, a všechny ostatní bude zamítat. Majitel takovéto karty "na jedno použití" s ní pak může platit na Internetu beze strachu o případné zneužití, protože i když by někdo jiný získal identifikační údaje o jeho kartě, stejně by je nemohl úspěšně použít (a naopak se vystavuje nebezpečí prozrazení, protože nelegitimita jeho požadavku by byla autorizačnímu centru ihned patrná). Jak ale k takovýmto "jednorázovým kreditním kartám" přijdou jejich oprávnění majitelé?
Odpověď je principiálně jednoduchá: majitel (běžné, tj. vícenásobně použitelné) kreditní karty dostane od své banky vhodný generátor jednorázových údajů, použitelných v roli kreditní karty "na jedno použití" (ať již ve fyzickém provedení, obdobném elektronickému klíči naší Expandia banky, tak třeba v podobě programu). Kdykoli pak potřebuje něco zaplatit on-line způsobem, nechá si vygenerovat i číslo jednorázové číslo karty a z té pak platí. Pro ještě větší bezpečnost je dokonce možné sdělit generátoru některé parametry očekávané transakce, například výši (horní odhad či limit) částky, která má být zaplacena, a generátor tyto údaje určitým způsobem zahrne do vygenerovaného čísla.