Token programowy lub token programowy to cyfrowy token bezpieczeństwa dla systemów uwierzytelniania dwuskładnikowego. Tokeny programowe próbują emulować tokeny sprzętowe, które są tokenami fizycznymi potrzebnymi w systemach uwierzytelniania dwuskładnikowego. Ten środek bezpieczeństwa ma zarówno zalety, jak i wady. Dzięki tokenowi programowemu pracownik może otrzymać nowy token w ciągu kilku sekund, ale token może zostać przechwycony przez hakera lub przeciwnika biznesowego. W większości przypadków drugą metodą uwierzytelniania stosowaną w przypadku tokenów programowych jest hasło pracownika lub kombinacja nazwy użytkownika i hasła.
Firmy i bezpieczne sieci używają uwierzytelniania dwuskładnikowego do zabezpieczania prywatnych informacji. Definicja uwierzytelniania dwuskładnikowego polega na tym, że do wejścia do systemu wymagane są dwie formy identyfikacji. Jeśli chodzi o tokeny programowe, token jest jednym z czynników potrzebnych do uzyskania dostępu do systemu i działa jak pierwsze z dwóch haseł.
Za pomocą tokena programowego pracownik najpierw żąda tokena od serwera lub administratora. Jeśli to żądanie zostanie spełnione, w oparciu o poziom pracownika lub inne czynniki bezpieczeństwa, token oprogramowania jest cyfrowo przenoszony na komputer lub urządzenie mobilne. Nie jest to token sprzętowy, więc token jest przechowywany w pamięci wirtualnej urządzenia. Tokeny zajmują bardzo mało pamięci, zwykle połowę 1 megabajta (MB) lub mniej.
Po otrzymaniu tokena pracownik spełnia jeden z czynników uwierzytelniających. Drugim czynnikiem jest zwykle nazwa użytkownika, hasło lub oba. Gdy oba te środki bezpieczeństwa są spełnione, pracownik uzyskuje dostęp.
Chociaż token programowy ogranicza dostęp i zwiększa bezpieczeństwo, nie jest tak bezpieczny jak token sprzętowy. W przypadku tokena sprzętowego sam token musi zostać fizycznie skradziony, a jeśli ktoś próbuje zduplikować informacje, token jest zaprogramowany tak, aby wyczyścić jego pamięć. Jeśli cyfrowy kanał transportowy nie jest bezpieczny lub urządzenie pracownika jest zainfekowane wirusem, haker lub przeciwnik biznesowy może ukraść token oprogramowania. Niektóre miękkie tokeny mają ograniczenia bezpieczeństwa, takie jak dostępność tylko przez krótki czas, ale nadal można ich używać do przyznawania dostępu osobom niebędącym pracownikami.
Zaletą korzystania z tokena programowego jest elastyczność i łatwość usunięcia. Jeśli pracownik potrzebuje nowego tokena, ponieważ został usunięty z pamięci lub ponieważ ograniczenie czasowe unieważnia bieżący token, nowy token może zostać przyznany w ciągu kilku sekund. Gdy pracownik zostaje zwolniony z firmy, token miękki można łatwo unieważnić, podczas gdy odzyskanie tokena sprzętowego może być trudniejsze.