Así es, por una parte tienes la tarjeta en el servidor y por otro lado una tarjeta impresa con las mismas claves.

Eso es lo más básico que puedes hacer, ya que el puro token por software es un user y password y si quieres más protección necesitas un hardtoken, pero ese es mucho más caro de implementar (porque necesitarías la implementación de RCA por ejemplo).