Wreszcie możemy mieć do czynienia z bardziej uniwersalną postacią kart inteligentnych, które łączą zarówno cechy karty mikroprocesorowej, jak i czytnika. Przyjmują najczęściej postać "kluczyków" USB. Górują nad ISO 7816 łatwością użytkowania, ale niestety są od tych pierwszych droższe. Najnowszym wynalazkiem w grupie kart inteligentnych są urządzenia PPSD (Portable Personal Security Device). Jest to hybryda stanowiąca połączenie pendrive’a z pamięcią flash i z kartą kryptograficzną. Ta ostatnia pełni rolę strażnika pamięci flash i ją zabezpiecza. W ten sposób zostaje usunięte jedno z największych ograniczeń tokenów kryptograficznych - niewielka przestrzeń magazynowania danych.

Standardowa karta inteligentna może przechować do 256 kb danych. Ponadto otrzymujemy solidne zabezpieczenie danych znajdujących się w pamięci flash - klucz szyfrowania nigdy nie opuszcza urządzenia, a zatem jego przechwycenie staje się niezwykle skomplikowane. PPSD nadają się zatem z jednej strony do uwierzytelniania użytkownika w fazie pre-boot podczas logowania do zaszyfrowanego systemu, do uwierzytelniania w samym systemie operacyjnym, aplikacjach, do składania podpisów elektronicznych, uwierzytelniania obustronnego itp. Z drugiej, to znakomita składnica poufnych danych w postaci zaszyfrowanej. Do PPSD dodawane są kolejne funkcje. Urządzenie takie może być jednocześnie tokenem OTP i mieć wbudowany czytnik linii papilarnych. Otrzymujemy więc prawdziwe narzędzie wieloskładnikowego uwierzytelniania. Analitycy bezpieczeństwa prognozują, że PPSD ma szansę zastąpić zwykłe tokeny. Ale PPSD to nie tylko same zalety i należy na nie spojrzeć także krytycznym okiem. Są to na tyle skomplikowane urządzenia, że ich koszt jednostkowy jest dość wysoki. Z tego samego powodu właściwe korzystanie z ich możliwości wymaga od użytkowników pewnej wiedzy i obycia, konieczne jest też przeszkolenie.

Mówiąc o tzw. breloczkach, to ciągle zaufaniem cieszą się tokeny OTP (One Time Password). Tutaj na rynku niewiele się zmieniło. W dalszym ciągu mamy do czynienia z dualizmem producenckim. W zasadzie stajemy przed wyborem: albo tokeny RSA, albo te zgodne ze standardem OATH (Open Authentication).

W przypadku tokenów OTP możemy mieć do czynienia z hasłami jednorazowymi, generowanymi według pewnego algorytmu w określonych odstępach czasowych (time based) - najczęściej co minutę, po wystąpieniu jakiegoś zdarzenia (event based) - zwykle naciśnięcie przycisku lub wykorzystanie mechanizmu challenge-response. Podstawową wadą sprzętowych tokenów OTP jest ograniczony czas użytkowania - z reguły do 5 lat. Jest to na tyle długi okres, aby koszt zakupu zdążył się wielokrotnie zwrócić. Niemniej jednak operacja wymiany wszystkich tokenów w całej organizacji może być dość trudnym logistycznie przedsięwzięciem.

Oprócz tokenów hardware’owych dużą popularnością cieszą się wszelkiego rodzaju tokeny programowe (soft tokens). W szczególności te, które można zintegrować z urządzeniami mobilnymi i w ten sposób dołożyć do ulubionego PDA kolejną funkcję. Są tańsze od swoich "breloczkowych" braci, nie wymagają kolejnego urządzenia i nie trzeba ich co jakiś czas wymieniać. Z drugiej jednak strony, ktoś musi zainstalować oprogramowanie, aktualizować je i rozwiązywać ewentualne problemy. Dyskusyjną sprawą jest również bezpieczeństwo klucza w takim tokenie. Zdecydowanie łatwiej jest skompromitować soft token niż breloczek (m.in. możliwość przeprowadzenia ataku MITM).