Não exatamente. Você não pode usar nenhum meio de armazenamento antigo. Eles fazem USB Smart Sticks (cartão inteligente na forma usb stick realmente). O problema está em como a verificação com cartões inteligentes funciona.
Esta é a versão genérica / simplificada do processo: o aplicativo "servidor" conhece o certificado público do cartão inteligente. Cria um nonce e o criptografa com o cert público. Em seguida, ele envia o nonce criptografado para o cliente; cliente encaminhar para o cartão inteligente. O cartão inteligente descriptografa-o com a chave privada; o nonce é então enviado de volta ao servidor (geralmente re-criptografado, mas isso é trivial para este processo).
Observe que o computador cliente nunca vê o certificado particular. Desta forma, o computador cliente não pode fazer uma cópia do certificado privado e o token é sempre necessário para autenticação. Se pudesse ser copiado, seria inseguro; um "criminoso" poderia copiar seu cartão, devolvê-lo e você não saberia que ele tem seu mecanismo de autenticação.
Cartões inteligentes para login PKI (login do Windows AD) não são muito caros * se você evitar as soluções compactadas. É claro que essas soluções empacotadas facilitam todo o processo e exigem muito menos conhecimento de sua parte.
* Athena faz um PKI Smart Card por $ 36 cada (mais barato a granel). < br> * Aladdin faz um eToken Pro USB por US $ 65
Nota: Eu realmente não recomendaria usar tokens para substituir completamente as senhas. Se nada mais, eu recomendo emitir as chaves privadas com uma senha e definir o prazo de validade de um ano; até mesmo uma senha simples seria muito eficaz nessa situação (embora você ainda deva evitar palavras de dicionário e qualquer coisa óbvia).