Diese lassen sich exakt benutzen wie Passwörter. Wenn einem dann ein Client mal abhanden kommen sollte, muss man nicht notwendigerweise sein Passwort ändern (und überall neu eigeben!), sondern invalidiert einfach das Token und gut.
Mit Ausnahme des Web-Interfaces (bei dem die Verwendung des Passworts empfohlen ist) erstellen die meisten Clients inzwischen beim konfigurieren selbst ein Token.