Принцип работы генератора одноразовых паролей заключается в том, что для расчёта пароля принимаются два параметра — секретный ключ (начальное значение для генератора) и текущее значение времени (или внутренний счётчик). 3 Секретный ключ хранится одновременно как в самом устройстве, так и на сервере аутентификации. 3

Одноразовый пароль генерируется обычно с использованием одного из трёх алгоритмов: 2

1. HOTP (по событию). 2 Сервер и токен ведут учёт количества процедур аутентификации, проходимых пользователем, а потом, используя в расчётах это число, генерируют пароль. 2
2. TOTP (по времени). 2 При использовании этого алгоритма пароль создаётся, учитывая показания внутренних часов токена. 2 Время действия пароля ограничено, он не может быть создан заранее или использован после истечения срока. 2
3. OCRA (запрос/ответ). 2 При его работе происходит взаимная аутентификация пользователя и сервера. 2 В отличие от других алгоритмов, он использует в качестве входных данных случайное значение, выданное сервером. 2

При запросе на аутентификацию проверка пароля осуществляется сервером. 1 Если введённое пользователем значение пароля совпадает со значением, полученным на сервере, аутентификация считается успешной. 1