Как вариант, банку вообще не нужно знать этот одноразовый пароль. Ему достаточно получить некий документ, подписанный ЭЦП, зарегистрированной в банке (удостоверяющем центре) за конкретным клиентом. В токен встроены криптосредства, которым на вход подаёшь документ, авторизуешься по одноразовому паролю для подписания закрытым ключом (он хранится в токене, возможности получить его средствами токена нет), а на выходе получаешь ЭЦП документа, которая вместе с документом передаётся в банк и там проверяется (разумеется, в банке должен быть открытый ключ, соответствующий закрытому).