Trzeba się tutaj trochę pobawić - resizować partycje na pendrive'ie żeby na początku zrobić trochę wolnego miejsca na klucz i odpowiednio skonfigurować gruba żeby mógł ten klucz odczytać.Nie pamiętam gdzie o tym czytałem, ale ten artykuł był chyba nawet po polsku, może na wiki gentoo albo na czymś podobnym.
Jednak sposób ten używany jest przy starcie systemu, jeśli pendrive ma być używany podczas logowania to może jest jakiś moduł do PAMa, ale nie spotkałem się z czymś takim.
Być może Twój znajomy powinien zaznajomić się także z dodatkową autoryzacją przy użyciu haseł jednorazowych OTP - przydatne zwłaszcza dla sesji ssh jeśli nie jesteśmy pewni czy komputer z którego się logujemy jest bezpieczny. W skrócie generowana jest lista np. tysiąca haseł i każde z nich używane jest przy logowaniu tylko raz, więc jego przechwycenie nic nie da.
Po szczegóły odsyłam na google - szukać wg słów OPIE OTP.
W Debianie wymagane do tego pakiety to libpam-opie, opie-server, opie-client. Potrzebna jest też ręczna modyfikacja plików PAMa w /etc/pam.d