Ищете вариант смарт-карты

Не совсем. Вы не можете использовать любой старый носитель. Они делают USB Smart Sticks (на самом деле смарт-карта в форме USB-флешки). Проблема в том, как работает проверка с помощью смарт-карт.

Это общая / упрощенная версия процесса: "серверное" приложение знает публичный сертификат смарт-карты. Он создает одноразовый номер и шифрует его публичным сертификатом. Затем он отправляет зашифрованный одноразовый номер клиенту; клиент перенаправляет его на смарт-карту. Смарт-карта расшифровывает его с помощью закрытого ключа; затем одноразовый номер отправляется обратно на сервер (обычно повторно шифруется, но это тривиально для этого процесса).

Обратите внимание, что клиентский компьютер никогда не видит закрытый сертификат. Таким образом, клиентский компьютер не может сделать копию частного сертификата, а токен всегда необходим для аутентификации. Если бы его можно было скопировать, то это было бы небезопасно; "преступник" может скопировать вашу карту, вернуть ее, и вы не узнаете, что у них есть ваш механизм аутентификации.

Смарт-карты для входа в систему PKI (Windows AD Login) не слишком дороги *, если вы избегаете упакованных решений. Конечно, эти комплексные решения облегчают весь процесс и требуют гораздо меньше знаний с вашей стороны.

* Афина изготавливает смарт-карту PKI за 36 долларов США (дешевле оптом).
* Aladdin делает eToken Pro USB за 65 долларов

Примечание: я бы не советовал использовать токены для полной замены паролей. Если ничего другого, я бы порекомендовал выдать закрытые ключи с паролем и установить срок действия на год; даже простой пароль был бы очень эффективен в этой ситуации (хотя вы все равно должны избегать словарных слов и всего очевидного).