Karta kodów jednorazowych – lista haseł służąca do autoryzacji transakcji internetowych, najczęściej bankowych. Każde z haseł widniejących na karcie ma swój numer kolejny i może być użyte tylko raz – system prosi o podanie hasła o konkretnym numerze.
Karta kodów jednorazowych może być zwykłą zadrukowaną kartką lub mieć postać zbliżoną do karty kredytowej. Często kolejne hasła są zasłonięte nadrukiem lub folią, które usuwa się przed użyciem uwidaczniając ukryte hasło – ułatwia to określenie ilości niewykorzystanych kodów. Hasłem jest najczęściej liczba pięcio- lub sześciocyfrowa; liczba pól karty jest zbliżona do 40, w przypadku wydruków może sięgać 100 i więcej.
Przed pierwszym użyciem karty kodów jednorazowych najczęściej potrzebna jest jej aktywacja – na żądanie systemu należy podać numer i kod z określonego, zwykle pierwszego, pola. W przypadku użycia karty jako kolejnej, system z reguły pyta o jeden z niewykorzystanych kodów z aktualnie aktywnej karty, a czasem i kod z nowej. Początkowo regułą było wykorzystywanie kolejnych pól karty, potem pojawiła się tendencja do losowego wyboru kodu przez system. Tylko jedna karta kodów jednorazowych do danego systemu może być aktywna, choć użytkownik może posiadać kilka kart dodatkowych do późniejszego użycia.
Odmianą karty kodów jednorazowych jest karta iTAN (indexed TAN) – tu hasła umieszczone są na przecięciu wierszy (oznaczonych np. literowo) i kolumn (oznaczonych np. liczbami), wybierane są losowo przez system i to samo hasło może być użyte wielokrotnie[uwaga 1]. Tego rodzaju karty zazwyczaj mają pewien określony czas ważności lub limit użyć, po których tracą ważność i powinny być zastąpione nowym egzemplarzem.
Z powodu niskiej ceny karty kodów jednorazowych są znacznie bardziej popularne niż tokeny, jednak i tak są wypierane przez różnego rodzaju autoryzacje elektroniczne.
Uwagi
- ↑ Przykładowo Deutsche Bank Polska PBC SA stosował karty TAN stuhasłowe (10 wierszy × 10 kolumn) o hasłach dwucyfrowych; do autoryzacji transakcji należało podać dwa hasła.