Un token software, o soft token, è un token di sicurezza digitale per i sistemi di autenticazione a due fattori. I token software tentano di emulare i token hardware, che sono token fisici necessari per i sistemi di autenticazione a due fattori, e questa misura di sicurezza presenta sia vantaggi che svantaggi. Con un token software, un dipendente può ricevere un nuovo token in pochi secondi, ma il token può essere intercettato da un hacker o da un avversario aziendale. La maggior parte delle volte, il secondo metodo di autenticazione utilizzato con i token software è la password del dipendente o una combinazione di nome utente e password.
Le aziende e le reti protette utilizzano l’autenticazione a due fattori per proteggere le informazioni private. La definizione di autenticazione a due fattori è che sono necessarie due forme di identificazione per entrare nel sistema. In termini di token software, il token è uno dei fattori necessari per accedere al sistema e si comporta come la prima di due password.
Con un token software, un dipendente richiede prima un token dal server o dall’amministratore. Se tale richiesta viene accolta, in base al livello del dipendente o ad altri fattori di sicurezza, il token software viene trasportato digitalmente sul computer o dispositivo mobile. Non è un token hardware, quindi il token viene archiviato nella memoria virtuale del dispositivo. I token occupano pochissima memoria, di solito la metà di 1 megabyte (MB) o meno.
Dopo aver ricevuto il token, il dipendente soddisfa uno dei fattori di autenticazione. Il secondo fattore è solitamente il nome utente, la password o entrambi del dipendente. Quando entrambe queste misure di sicurezza sono soddisfatte, al dipendente viene concesso l’accesso.
Sebbene un token software limiti l’accesso e aumenti la sicurezza, non è altrettanto sicuro di un token hardware. Con un token hardware, il token stesso deve essere rubato fisicamente e, se qualcuno tenta di duplicare le informazioni, il token è programmato per cancellarne la memoria. Se il canale di trasporto digitale non è sicuro o se il dispositivo del dipendente ha un virus, un hacker o un avversario aziendale può rubare il token del software. Alcuni soft token hanno vincoli di sicurezza, come essere disponibili solo per un breve periodo di tempo, ma possono comunque essere utilizzati per concedere l’accesso ai non dipendenti.
Il vantaggio dell’utilizzo di un token software è la flessibilità e la facilità di rimozione. Se un dipendente ha bisogno di un nuovo token, perché è stato cancellato dalla memoria o perché il vincolo di tempo invalida il token corrente, un nuovo token può essere concesso in pochi secondi. Quando un dipendente viene licenziato da un’azienda, un token software può essere facilmente invalidato, mentre il recupero di un token hardware può essere più difficile.