Um token de software, ou soft token, é um token de segurança digital para sistemas de autenticação de dois fatores. Os tokens de software tentam emular os tokens de hardware, que são físicos necessários para sistemas de autenticação de dois fatores, e há vantagens e desvantagens nessa medida de segurança. Com um token de software, um funcionário pode receber um novo token em segundos, mas o token pode ser interceptado por um hacker ou adversário comercial. Na maioria das vezes, o segundo método de autenticação usado com tokens flexíveis é a senha do funcionário ou uma combinação de um nome de usuário e uma senha.

Empresas e redes seguras usam autenticação de dois fatores para proteger informações privadas. A definição de uma autenticação de dois fatores é que são necessárias duas formas de identificação para entrar no sistema. Em termos de tokens de software, o token é um dos fatores necessários para acessar o sistema e atua como a primeira das duas senhas.

Com um token de software, um funcionário primeiro solicita um token do servidor ou administrador. Se essa solicitação for atendida, com base no nível do funcionário ou em outros fatores de segurança, o token do software será transportado digitalmente para o computador ou dispositivo móvel. Não é um token de hardware, portanto, o token é armazenado na memória virtual do dispositivo. Os tokens ocupam muito pouca memória, geralmente metade de 1 megabyte (MB) ou menos.

Após receber o token, o funcionário atende a um dos fatores de autenticação. O segundo fator geralmente é o nome de usuário, senha ou ambos do funcionário. Quando essas duas medidas de segurança são atendidas, o funcionário recebe acesso.

Embora um token de software limite o acesso e aumente a segurança, ele não é tão seguro quanto um token de hardware. Com um token de hardware, o próprio token deve ser fisicamente roubado e, se alguém tentar duplicar as informações, o token será programado para limpar sua memória. Se o canal de transporte digital não for seguro ou se o dispositivo do funcionário tiver um vírus, um hacker ou um adversário comercial poderá roubar o token do software. Alguns tokens programáveis ​​têm restrições de segurança, como estar disponível por um curto período de tempo, mas isso ainda pode ser usado para conceder acesso a não funcionários.

A vantagem de usar um token de software é a flexibilidade e a facilidade de remoção. Se um funcionário precisar de um novo token, porque foi apagado da memória ou porque a restrição de tempo invalida o token atual, um novo token pode ser concedido em segundos. Quando um funcionário é rescindido de uma empresa, um token flexível pode ser facilmente invalidado, enquanto a recuperação de um token de hardware pode ser mais difícil.