Meine Damen und Herren, habe ich Ihre Aufmerksamkeit?

Nö digitale Signaturen sind ja auch verschlüsselt und passwort-geschützt.

Dann muß also wieder ein Paßwort eingegeben werden - das dabei wieder ausgespäht werden kann.

Das ist richtig, mit einer reinen Software-Lösung wird man das auch nicht lösen können, dafür bräuchte man entsprechende Hardware.

Und wenn der User selbst nach unbeobachteter Paßworteingabe vergißt, sich für die Mittagspause auszuloggen, kann jeder ...
Oder wenn er nur mal für eine kurze Frage ins Nachbarbüro geht - und dort dann länger bleibt als beabsichtigt ...
Oder ...

Das Problem stellt sich bei Pro-Webseiten-Passwort-Abfrage auch.

Aber die Paßworteingabe sollte ja möglichst - wegen des Ausspähens durch den Hintermann - vermieden werden ...

Mit Client-Zertifikaten kann man die Häufigkeit der Passwort-Abfrage schon deutlich verringern, um sie ganz abzuschütteln könnte man zum Beispiel auf Hardware-Tokenizer setzen. Das ist aus Usability-Sicht dann aber wieder ein Schritt zurück.

Um die Idee von Client-Zertifkikaten mal greifbar zu machen: Bei SSH Remote-Shells werden diese zum Beispiel eingesetzt und auch bei GitHub weiß man sie zu schätzen.