Hi Stefan,
je nach Benutzer kann die Trennung vom Gerät gut oder schlecht sein. :)
Im Ernst: meiner Erfahrung nach hat es Sinn, Sicherheitstechnik so einfach wie möglich zu gestalten, damit es von den Benutzern angenommen wird. Bei vSC ist das m.E. der Fall.
Sofern schon eine SC Infrastruktur vorhanden ist, kann auch eine Trennung der Sicherheitslevel pro Dienst sinnvoll sein. Etwa vSC für alle "normalen" Authentifizierungen (gegen Applikationen, Webinterfaces usw.) und eine normale SC für Signaturen, Server Zugriffe usw. Gerade wenn die SC nicht nur IT-technisch relevant ist, sondern auch Zutrittssysteme steuert usw., kann der business case sehr verschieden aussehen.
Daher meine Rückfrage zu Deinen Anforderungen. Je genauer Du weißt, wohin Du mittelfristig möchtest, umso besser lassen sich die verschiedenen Modelle eruieren, anpassen, vermischen usw.
Viele Grüße
olc