形式化地，我們用S代表服務(wù)器，P代表密碼生成器，PIN代表用戶(hù)啟動(dòng)密碼生成器的身份識(shí)別碼，U代表用戶(hù)，N代表隨機(jī)Nonce：

S→U: N

U→P: N,?PIN

P→U: {N,?PIN}K

U→S: {N,?PIN}K

這些設(shè)備在20世紀(jì)80年代早期開(kāi)始出現(xiàn)，最早用在電話(huà)公司，之后在90年代被銀行采用。有一些簡(jiǎn)化的設(shè)備中不包含鍵盤(pán)，只是每隔1分鐘左右生成1個(gè)新的訪問(wèn)碼(通過(guò)對(duì)計(jì)數(shù)器進(jìn)行加密得到)，比如最廣為人知的RSA SecurID。美國(guó)國(guó)防部在2007年宣稱(chēng)，在上一年度，由于引入了一種基于DoD通用訪問(wèn)卡(CAC卡)的系統(tǒng)，網(wǎng)絡(luò)入侵減少了46%[225]。

現(xiàn)在，這些技術(shù)已經(jīng)開(kāi)始在客戶(hù)群中傳播。在2001年之前，密碼生成器主要在一些高級(jí)私營(yíng)銀行中使用(比如Coutts就使用密碼生成器對(duì)其在線客戶(hù)進(jìn)行身份驗(yàn)證)，并且這些銀行從沒(méi)有遭受過(guò)釣魚(yú)式詐騙攻擊。而到了2006年，荷蘭與冰島的一些銀行將這些技術(shù)推廣到其數(shù)以百萬(wàn)計(jì)的客戶(hù)群中，之后，詐騙攻擊開(kāi)始出現(xiàn)了。典型情況下，釣魚(yú)式攻擊者會(huì)進(jìn)行實(shí)時(shí)中間人攻擊(下一節(jié)將對(duì)其進(jìn)行描述)，一旦用戶(hù)通過(guò)了銀行的身份驗(yàn)證，就對(duì)其進(jìn)行會(huì)話(huà)劫持。在2007年晚些時(shí)候，英國(guó)以及歐洲其他國(guó)家的一些銀行引進(jìn)了芯片身份驗(yàn)證程序(CAP)，這種機(jī)制會(huì)給銀行客戶(hù)派發(fā)一個(gè)計(jì)算器，并使用用戶(hù)的銀行卡進(jìn)行加密。這個(gè)計(jì)算器在使用銀行卡加載時(shí)，會(huì)詢(xún)問(wèn)客戶(hù)的PIN，如果正確輸入，就基于計(jì)數(shù)器(作為卡交易的一次性身份驗(yàn)證碼，或銀行Web站點(diǎn)的一步式登錄憑據(jù))或質(zhì)詢(xún)信息(用在兩步式身份驗(yàn)證中)計(jì)算出一個(gè)應(yīng)答碼。還有另一種操作模式：如果會(huì)話(huà)劫持成為嚴(yán)重問(wèn)題，CAP計(jì)算器也可以用于對(duì)交易數(shù)據(jù)進(jìn)行身份驗(yàn)證，在這種情況下，應(yīng)該由客戶(hù)將金額與收款人賬號(hào)的最后8位數(shù)字輸入其CAP計(jì)算器中。