使用硬件令牌登录

我是密码学领域的新手，正在学习PKI和PKCS等。我理解PKI的基本概念以及它如何用于加密/解密。然而，我很困惑如何使用硬件令牌如USB令牌或智能卡来安全登录到您的计算机。以下是我理解的步骤以及我感到困惑的部分（对于问题长度，提前抱歉）：使用硬件令牌登录

场景：网络上的计算机xyz包含仅属于组SECRET的用户可以访问的数据。用户Bob和Joe在这个组中，并且已经发布了USB令牌，他们可以使用这些令牌来提供凭据，使他们能够访问这些资源。 USB令牌采用双因素身份验证，需要输入一个引脚。令牌符合PKCS11。

1. 鲍勃插入USB令牌进入Linux机器
2. 一个PAM-PKCS11模块识别该事件，并提示鲍勃进入他的脚。
3. 一旦鲍勃正确输入他的4位PIN码，对鲍勃的令牌认证证书的有效性的模块检查（这个因人而异，但什么是最小的？）：
   • 定位根证书检查对于信任的CA
   • 检查证的有效日期，并撤销关于对用户文件令牌列出
   • 匹配ID（其中？缺少一个步骤）或目录（LDAP等）
4. 如果一切正常，模块通知PAM的成功结果。
5. 此行被标记为足以使PAM接受认证并且Bob已登录，并且可以查看SECRET组限制给用户的信息。

我缺少的部分是存储有关Bob是否可以访问此计算机的信息，以及他与Bob网络（甚至桌面）用户绑定的方式。我知道有关Bob的其他识别数据将被存储在USB上，包括一个ID（例如，电子邮件地址）。但是，这个强大的安全性如何？在登录过程中使用加密的地方在哪里（或者这不是这些令牌的真正目的）？如果有人拿到USB并知道4位数的引脚，那似乎是所有需要的，对吧？此外，它实质上是CA中的信任，即允许相信另一个用户无法获得新的USB令牌并使用可信的CA获取新证书，但将所有识别数据指定为与Bob相同？我知道我缺少一些关键部分..但是在阅读了几十篇文章后，这个领域的解释似乎被掩盖了。使用硬件令牌作为验证登录到包含敏感数据的计算机的足够方法是否是个好主意？或者这种令牌的目的主要是安全地存储在其他应用程序中使用的密钥对吗？感谢您的帮助！