Un token suave es un token de seguridad basado en software que genera un PIN de inicio de sesión de un solo uso.
Tradicionalmente, un token de seguridad ha sido un dispositivo de hardware que produce un PIN nuevo, seguro e individual para cada uso y lo muestra en una pantalla LCD incorporada. El sistema puede activarse después de que el usuario presione un botón o ingrese un PIN inicial. Los tokens de seguridad se utilizan generalmente en entornos con requisitos de seguridad más altos como parte de un sistema de autenticación multifactor. Si bien los sistemas basados en hardware son más seguros, también son costosos y difíciles de implementar a gran escala, como se requiere para la banca en línea, por ejemplo.
Los tokens flexibles son un intento de replicar las ventajas de seguridad de la autenticación multifactor, al tiempo que simplifican la distribución y reducen los costos. Una aplicación de token suave para teléfonos inteligentes realiza la misma tarea que un token de seguridad basado en hardware. Al igual que un token de hardware, un teléfono inteligente proporciona una ubicación fácil de proteger y recordar para obtener información de inicio de sesión segura: en el propio dispositivo. A diferencia de un token de hardware, los teléfonos inteligentes son dispositivos conectados, lo que los hace inherentemente menos seguros. El alcance de su seguridad depende en gran medida del sistema operativo del dispositivo y del software del cliente.