Сам не доберётся - с шансами найдёт кому сунуть железку на предмет поиска интересного. Воры тоже вполне в курсе прогресса. "В нужный момент не иметь" - лечится как раз облаками и прочим удалённым хранением. Если облака - значит, это клиентская система, и что там творят админы клиента - его головоная боль, не моя. Если мой сервер - тут моя ответственность, конечно. Там либо быть уверенным в физической безопасности либо всё держать зашифрованным. Ну и универсальный рецепт - не работать с тем, что действительно секретно, где попало. Это ещё и неудобно кроме всего прочего.
А вот смысл пина я сейчас не вижу совсем (в отличие от подтверждения железной кнопкой на токене) - если смотрят - подсмотрят, если голову будут отбивать - сам скажешь, а про...ть одновременно и ноут и токен - это уже суметь надо, тут лучший рецепт - бухать поменьше.