Une clé RSA ça tombe dans la catégorie "semi-forte" car la clé n'est "physiquement" pas protégée.
C'est simple : est-ce que tu peux te servir d'une clé RSA sur un PC en accès libre (ou simplement partagé et risquant particulièrement d'être compromis), en limitant la fenêtre de vulnérabilité dans le temps?
Non, si le PC est compromis quand tu utilises ta clef, que tu as stockée sur une mémoire de masse USB, alors elle peut être copiée et utilisée sans que tu le saches, tant que tu ne changes pas la clé (ce que tu n'as aucune raison de faire puisqu'on ne t'a rien pris).
Alors que si tu utilises un authentifiant USB "sécurisé", qui stocke ta clé mais la révèle pas, sur une machine compromise, l'accès n'est pas définitivement utilisable; seule la session que tu as lancée peut être piratée.
Si tu la perds, on peut potentiellement s'en servir. Pour certains ayatollah ça n'est même pas du semi-fort, ça renforce juste ton mot de passe.
Si tu perds une carte, tu peux faire quelque chose.
Si une clé est recopiée, tu ne peux rien faire tant que tu ne t'aperçois pas d'accès anormaux. D'où l'utilité de la mention "last login at hh:mm jj/mm/aaaa from i.p.ad.ress"