Für die Authentifizierung über OnetimeToken werden zwei Komponenten benötigt: 

• Etwas, was man weis

und

• Etwas, was man besitzt.

Im Gegensatz zur herkömmlichen Authentifizierung über ein Passwort (Etwas, was man weis) reicht die Kenntnis des Passwortes nicht aus.

Um sich erfolgreich anmelden zu können, wird noch ein zusätzliches Gerät benötigt. Der Code-Geber oder das Token.

Der Verlust des Passwortes bleibt beinahe immer unentdeckt, es ist beliebig kopierbar. Der berechtigte Passwortinhaber merkt nicht, wenn eine weitere Person das Passwort kennt. 

Durch die Erweiterung der Anmeldung um ein Gerät benötigt ein unberechtigter Dritter erstens das Passwort selbst als auch das Gerät / Token. Das Token selbst existiert jedoch nur einmal. Gerät es in die falschen Hände, so merkt der berechtigte Inhalber sofort das fehlen.

Die Gültigkeit des eingegebenen Tokenwertes wird vom Anmeldeserver überprüft.

Dieser ist im Internet für alle freigeschalteten Kundenrechner nutzbar.

Um die hohe Verfügbarkeit zu gewährleisten, ist der Anmeldeserver redundant an drei verschiedenen Hostingstandorten im Internet verteilt.

Beim Login kann die Anmeldesoftware beim Ausfall des primären Anmeldeservers eines der Ersatzsysteme anfragen.

Eine 100%ige Verfügbarkeit des Anmeldesystems ist so gewärhleistet.

Alle auf dem Authentifizierungsserver gespeicherten Daten sind vollständig anonymisiert.

Mit den auf dem Server gespeicherten Informationen kann nicht mehr rückwärts auf den Kunden oder dessen Server geschlossen werden.

Das heisst, auch für den Fall der Fälle, bei dem die Authentifizierungsdatenbank in falsche Hände gelangt, sind die Daten für den Angeifer völlig nutzlos.