Estas pruebas pueden ser diversas, como una contraseña, que posea una clave secundaria rotativa, o un certificado digital instalado en el equipo, biometría, entre otros.La autenticación en dos pasos o verificación en dos pasos es un método de confirmar la identidad de un usuario utilizando algo que conocen (contraseña) y un segundo factor distinto a lo que sean o posean.Se espera que estas contraseñas sean memorizadas y no compartidas con nadie.Existen distintos tipos, como por ejemplo lectores de tarjetas, etiquetas inalámbricas y tókenes en USB.Otro tipo de factor es la ubicación del usuario que se está intentando autenticar.Sin embargo, si no está en el lugar, tendrá que aportar otro factor (por ejemplo, insertando una tarjeta con un certificado electrónico).La ubicación puede ser un factor válido si las instalaciones cuentan con una seguridad y control de accesos suficientes.Si los usuarios se quieren autenticar, pueden utilizar su licencia de acceso personal —por ejemplo, algo que sólo el usuario individual sabe— más una contraseña de un solo uso y no reutilizable constituida por varios dígitos.Si ya ha utilizado una contraseña válida, se borra automáticamente y el sistema envía un nuevo código al dispositivo móvil.Si el nuevo código no se utiliza en un periodo de tiempo determinado, el sistema lo reemplaza automáticamente.Esto asegura que los códigos viejos o utilizados no sean almacenados en el dispositivo.
El token SecurID de RSA es un ejemplo de generador de tókenes sin conexión.
