Smartcards
Smartcards slaan een geheime sleutel zodanig op dat malware er niet bij kan. Ze beschikken daarvoor over een eigen processor en een veilige opslagplaats voor de sleutel. In plaats van die sleutel rechtstreeks te gebruiken, berekent de smartcard zelf de bij de challenge passende handtekening.
Smartcards hebben geen commando waarmee de geheime sleutel kan worden uitgelezen. Als je toch wilt weten hoe de sleutel eruitziet, maak dan je borst maar nat, want fabrikanten van smartcards gooien de logische poorten en geheugencellen van de chip compleet door elkaar. Als je de chip eruit probeert te slijpen, kom je nooit gelijktijdig bij alle benodigde contactpunten om het geheugen uit te lezen. Een aanvaller zou elke geheugencel die hij vindt afzonderlijk moeten uitlezen. Zoiets is gekkenwerk.
Daarom willen banken dat klanten smartcards als bankpas gaan gebruiken. De pincode als tweede factor dient alleen om te voorkomen dat met een gestolen pas de bankrekening wordt geplunderd. Thuis op de pc kun je zo'n bankpas alleen met behulp van een TAN-generator gebruiken. Je plaatst een kaart in de TAN-generator en hij scant een knipperende code op je beeldscherm. Voordat een TANcode wordt berekend, worden op het schermpje het rekeningnummer en het bedrag vermeld. Op die manier kun je controleren of er eventueel malware actief is die valse informatie wil verzenden.
Veilig online bankieren zonder TAN-codes is mogelijk met een paslezer en een pas die geschikt is voor HBCI. Er zijn ook smartcards voor GnuPG die RSA-sleutels veilig bewaren. Als je wilt, kun je er zelfs harde schijven mee versleutelen. Voor die opties heb je behalve de betreffende pas een extra pincode nodig. Sommige hardware-tokens, zoals de Yubikey en Nitrokey, kunnen zich voordoen als een smartcard inclusief paslezer, zodat je daar dezelfde dingen mee kunt als met de GnuPG-smartcards.