Bei den Karten kommt es dann auch nochmal drauf an.

Nur die Serial als Authentifizierung kann prinzipiell kopiert werden, wenn jemand kurz in die Nähe der Karte kommt.
Es lassen sich karten Simulieren, aber man kann auch aus China "inoffiziell" Karten bekommen, wo noch keine Serial eingebrannt ist, was man dann selbst nachholen kann, mit der kopierten Nummer.

Es gibt auch noch Karten mit einer Sicherheitsfunktion, wie z.B. Mifare DESFire, wo im Chip "versteckt" ein Schlüssel abgelegt werden kann, welcher bei der Authentifizierung für eine Berechnung genutzt werden kann, innerhalb der Karte.
Die Karte bekommt einen beliebigen Wert, verrechnet ihn mit dem Schlüssel, gibt das Ergebnis raus, das Programm macht das ebenfalls und vergleicht die Ergebnisse. (ja, für genug Geld und wenn dabei die Karte kaputtgehen darf, lässt sich auch dieser Schlüssel auslesen)

Und man kann es auch übertreiben und noch besserere Karten besorgen.


Es gibt auch nette USB-Fingerabdruckdinger, oder man könnte versuchen das Windows Hallo (Fingerabduck, Gesicht, RFIDkarte, oder ...) zu nutzen.
Ich hab hier auch einen, den man via Serial (oder USB ähhh Arduino) einbinden kann. Mit dem Fingerabdruck wird ein "Wert" verbunden, oder man kann die Fingerabdruckdaten selbst (also die kodierten "Merkmale") nutzen (jedes Mal wenn "neu" registriert wird, sind die anders) oder auch wirklich ein Image des Fingerabdrucks (bieten nicht alle Fingerprint-Reader und ich würde es auch nicht empfehlen).
Ja, da man die "kodierten Merkmale" auslesen und kopieren könnte oder sich auch in die Kommunikation mit dem PC einschleusen kann (wenn man physisch ans USB-Kabel ran kommt, bzw. ein Fake-USB-Gerät ansteckt),
aber auch beim YubiKey käme man eventuell ans USB-Kabel, z.B. eines Verlängerungskabels oder im PC bei den Frontusb ans Kabel und könnte eine Fake bzw. Reader zwischenschalten.
usw.

Fazit: Wenn man es genau nimmt, ist eigentlich NICHTS 100% sicher.