> > В таком случае вам нужен аппаратный ключ, отдающий не пароль, а респонс по > > переданному челленджу (мы ведь челлендж-респонс протокол обсуждаем?) > > а что может помешать воспользоваться этим аппаратным ключом злоумышленнику? Воспользоваться, пока он вставлен - ничего. Не получится прикопать credentials для последующего использования в более удобный момент. -- Все учтено могучим ураганом...