Software-Token bilden im Grunde die Funktionalität von Hardware-Token auf Software ab. Es kommen identische Algorithmen und Verfahren zum Einsatz wie bei der Hardware. Durch die Verwendung des Software-Tokens auf einem Smartphone muss der Anwender kein „Extra“-Gerät mit sich mitführen. Da der Software-Token in der Regel auf einer nicht kontrollierbaren Plattform (Smartphone) ausgeführt wird, hängt die Sicherheit des Tokens von der Sicherheit des Smartphones ab. Weist dieses Schwachstellen auf oder birgt es Schadsoftware, hat der Angreifer gegebenenfalls unbemerkten Zugriff auf den Token. Software-Token sollten dementsprechend ausschließlich in Szenarien mit einem normalen Schutzbedarf eingesetzt werden.