Gondolom kb úgy működik a securid, mint a TOTP ( http://tools.ietf.org/html/draft-mraihi-totp-timebased-08 )
Van egy kulcs beégetve a tokenbe, ehhez hozzákavarják valahogy a token órája által mutatott perceket, és az így kiszámolt sok számjegyű értékből 6 számjegyet jelez ki a token.
Amikor egy cég vesz egy tokent, akkor azt regisztrálni kell a bejelentkeztetést ellenőrző szervernél. Az adminisztrátor begépeli a kulcsot, és ugyanekkor begépelheti a token által mutatott értéket is. A szerver ebből könnyen ki tudná számolni, hogy hány perc eltérés van a token órája és a pontos idő között.
Amikor a felhasználó újra és újra használja a tokent, akkor a szerver +/- 1 perc eltérésre számíthat az óra pontatlansága (sietése vagy késése) miatt, és ezekből az eltérésekből számon tarthatja, hogy az óra nagyjából mennyit fog sietni/késni a jövőben.
Ha valaki megszerzi a kulcsot (a gyártótól), akkor nem tudhatja hogy az óra mennyivel lett a gyártáskor elállítva, és hogy mennyire siet/késik. Ezért a tolvaj nem tudja az érvényes 6 jegyű számot kiszámolni és megadni a szervernek, hanem kísérleteznie kell.