Man muss nicht unbedingt direkt vor dem Rechner sitzen. Es gibt genügend Fernwartungstools. Damit wird die Beschränkung auf irgendein Rechner-Merkmal sinnlos. Es sei denn der Administrator hat keine Möglichkeit, Programme nachzuinstallieren. Dann möchte ich aber nicht unbedingt Administrator bei solch einem nicht vertrauenswürdigen (in beide Richtungen) Chef sein.

Wenn das Merkmal eine Hardwarekomponente ist, die nur der Rechner hat, schon - eben ein Token mit einem Display wo das Passwort abzulesen ist und der NUR funktioniert wenn er exakt an diesem Rechner angesteckt ist da das "Gegenstück" dazu im Rechner verbaut ist.

Aber das hindert niemanden dieses One-Time-Password einfach auf einen anderen Rechner für das Login zu verwenden - z.B. auf einem Notebook, welches der Administrator mit in sein Kämmerchen bringt und dann die offene Session mit nachhause nimmt :p