всход в ОС: PIV или PAM?


Добрейшего времени!

использую macOS 10.13.3 с поддержкой входа в ОС с использованием смарт-карт (PIV). в качестве последней использую Yubikey-4, который, помимо функциональности PIV (и много еще чего) поддерживает протокол Challenge-Response HMAC-SHA1. Можно установить PAM модуль для macOS настроить его так, что для входа в систему будет необходимо ввести пароль и вставить ключ, с которым ОС обменяется запросом-ответом. Причем поскольку запрос всегда разный, различного рода replay-атаки должны быть исключены.

Не очень понимаю механизм аутонтификации с использованием PIV карты, является ли он статичным или так же основан на технологии Challenge-Response с постоянно меняющимися запросами.

В целом, как вы считаете, что обеспечивает большую степень надежности/безопасности, PAM или PIV? какие у этих двух технологий "за" и "против"? Спасибо!