Токен мне кажется будет удобнее в этом плане.
Если интересует совсем аппаратная история, а не программная, можешь рассмотреть (или посмотреть) как работают модули доверенной загрузки. Например АПМДЗ Соболь или Аккорд.
И у тех и у других полностью аппаратная часть. Подключенный на плату модуль - к модулю конфигурируется свой ключ (в виде таблетки или флеш-токена), наклепать таких можешь несколько штук (условно для админа, руководителя и пользователя). Перед загрузкой любой ОС у любого устройства просит предъявить персональный идентификатор.
