Un token soft è un token di sicurezza basato su software che genera un PIN di accesso monouso.
Tradizionalmente, un token di sicurezza è stato un dispositivo hardware che produce un nuovo PIN sicuro e individuale per ogni utilizzo e lo visualizza su un display LCD integrato. Il sistema può attivarsi dopo che l’utente preme un pulsante o inserisce un PIN iniziale. I token di sicurezza sono generalmente utilizzati in ambienti con requisiti di sicurezza più elevati come parte di un sistema di autenticazione a più fattori. Mentre i sistemi basati su hardware sono più sicuri, sono anche costosi e difficili da implementare su larga scala, come è richiesto per l’online banking, per esempio.
I soft token sono un tentativo di replicare i vantaggi di sicurezza dell’autenticazione a più fattori, semplificando la distribuzione e riducendo i costi. Un’app soft token per smartphone esegue lo stesso compito di un token di sicurezza basato su hardware. Come un token hardware, uno smartphone fornisce una posizione facile da proteggere e facile da ricordare per le informazioni di accesso sicure: sul dispositivo stesso. A differenza di un token hardware, gli smartphone sono dispositivi collegati, che li rendono intrinsecamente meno sicuri. L’entità della loro sicurezza dipende in gran parte dal sistema operativo del dispositivo e dal software client.