Ein Soft Token ist ein softwarebasiertes Sicherheitstoken, das eine einmalige Anmelde-PIN generiert.
Traditionell war ein Sicherheitstoken ein Hardwaregerät, das für jede Verwendung eine neue, sichere und individuelle PIN erzeugt und auf einem eingebauten LCD-Display anzeigt. Das System kann aktiviert werden, nachdem der Benutzer eine Taste gedrückt oder eine anfängliche PIN eingegeben hat. Sicherheitstoken werden im Allgemeinen in Umgebungen mit höheren Sicherheitsanforderungen als Teil eines Multifaktor-Authentifizierungssystems verwendet. Die hardwarebasierten Systeme sind zwar sicherer, aber auch kostspielig und schwer im großen Stil zu implementieren, wie es beispielsweise beim Online-Banking erforderlich ist.
Soft-Token sind ein Versuch, die Sicherheitsvorteile der Multifaktor-Authentifizierung zu replizieren, die Verteilung zu vereinfachen und die Kosten zu senken. Eine Smartphone-Soft-Token-App führt dieselbe Aufgabe aus wie ein hardwarebasiertes Sicherheitstoken. Wie ein Hardware-Token bietet ein Smartphone einen einfach zu schützenden und leicht zu merkenden Ort für sichere Anmeldeinformationen: auf dem Gerät selbst. Im Gegensatz zu einem Hardware-Token sind Smartphones verbundene Geräte, die sie von Natur aus weniger sicher machen. Das Ausmaß ihrer Sicherheit hängt weitgehend vom Betriebssystem und der Client-Software des Geräts ab.