Esistono diversi metodi per tali token. Uno di questi è HOTP : il token e il server condividono entrambi un valore segreto comune e un contatore; dal valore del contatore segreto e attuale, è possibile generare una password monouso (il token lo visualizza, il server verifica che la password inserita corrisponda a quella prevista).
Alcuni token includono anche la data e l'ora correnti nel processo, in modo che anche la password monouso sia limitata nel tempo: questo suppone che l'utente preme il pulsante sul token e immediatamente entri la password visualizzata (l'uso del tempo impedisce all'utente di generare alcuni OTP in anticipo e di scriverli su un pezzo di carta). Il solito standard è TOTP .