Você não pode. A autenticação de dois fatores com senhas de uso único (OTPs?) Seria o primeiro requisito, já que suas teclas e o procedimento de login, sem dúvida, serão gravados. Isso tornaria mais difícil para um invasor reutilizar outra coisa em outro momento ...
... no entanto, mesmo se você estabelecer um túnel criptografado - não há nada que impeça que todas as informações que você passa sejam descartadas, já que você não controla o seu endpoint.
Portanto, enquanto você estiver apenas protegendo os direitos de acesso, com certeza, isso pode ser feito decentemente protegido (embora nada esteja seguro ). Mas todas as informações disponíveis para você durante essa sessão devem ser consideradas como propriedade pública, já que você não pode controlar sua distribuição quando o cliente está comprometido.
Poderia estar usando o registro de hardware, por isso, mesmo se você invadir o terminal e inicializar o seu próprio sistema operacional, você não saberia se é seguro ^^