Um certificado de cliente não é mais seguro que uma senha (boa, protegida). Em geral, é melhor do que uma senha porque é menos provável (impossível) ser o mesmo que outro certificado (contraste com o link ) e é menos provável (impossível) ser adivinhado (ou seja, é resistente a ataques de dicionário). Pode ser menos provável que seja divulgado por um usuário final do que uma senha.
Certs do lado do cliente são considerados "algo que você tem" para que um certificado de cliente e uma senha ("algo que você sabe") possam satisfazer qualquer requisito de TFA (autenticação de dois fatores) em vários regulamentos.