A fizikai token kb. semmi extra security-t nem ad ha arra használod hogy one time password-öt generálj vele. Ha arra használod hogy van benne egy cert amit egy alkalmazás felolvas és ezzel azonosítja hogy a valódi szerverrel beszél-e, az egy másik kérdés, de ezeket a megoldásokat már megszüntették.