Il token può anche essere una scatoletta cinese da 1€, ma se l'algoritmo che usa è decente (e gli algoritmi validi sono disponibili royalty-free in questi campi, quindi non ci sono problemi economici) non puoi riprodurre la sequenza di numeri senza conoscere il seed iniziale (non a caso definiti numeri pseudo-casuali).
Il problema se mai è che essendo event-based se qualcuno frega un codice questo rimane valido fino a quando tu non ne usi uno successivo. Inoltre in generale un token lascia esposti ad attacchi di tipo man-in-the-middle (peraltro di difficile attuazione), ma per quello l'unica difesa è l'sms pin di Fineco
