基于PKI的身份认证应该是什么样子的

如题，现在基于PKI的身份认证体系，认证流程基本上都是用户持有USB-KEY，插入USB插槽后，由客户端的相关程序（控件/客户端程序）与认证服务器做交互进行认证
现在的问题是，这个USB-KEY在基于PKI的身份认证体系中是否必须，可不可以只使用从USB-KEY中导出的证书文件进行证书身份验证？
据本人观察，部分网银貌似是可以只使用证书文件而不使用USB-KEY，但这种方式是否足够安全，是否可能与PKI体系的初衷有所背离呢？