Hay varios métodos para tales tokens. Uno de ellos es HOTP : el token y el servidor comparten un valor secreto común y un contador; a partir del secreto y del valor del contador actual, se puede generar una contraseña de un solo uso (el token lo muestra, el servidor verifica que la contraseña ingresada coincida con la que se esperaba).
Algunos tokens también incluyen la fecha y la hora actuales en el proceso, por lo que la contraseña de un solo uso también está limitada en el tiempo: esto supone que el usuario presiona el botón en el token y inmediatamente ingresa la contraseña mostrada (el uso del tiempo evita que el usuario genere un poco de OTP por adelantado y los escriba en un papel). El estándar habitual para eso es TOTP .