FIPS-140 (vooral level <=2, wat je in praktijk altijd ziet) is ontworpen in de tijd dat de Amerikaanse overheid crypto-apparaten nodig had die in beveiligde omgevingen staan, denk aan netwerk encryptors in bunkers enzo. De testspecificaties zijn vrijwel geheel gericht op juiste implementatie van de cryptographische algorithmen (zeg maar interoperability), een beetje dat er logisch gezien niets anders dan de goedgekeurde cryptographische algorithmen/modes/protocollen gebruikt kunnen worden, en een lachwekkende analyse van wat je hier "beveiliging tegen fysieke aanvallen" zou noemen. Simpelweg past het dreigingsmodel van FIPS-140 niet op wat je in praktijk vaak nodig hebt (aangenomen dat je niet in bunkers werkt). Dus wellicht zijn de sticks wel goed getest, maar alleen tegen aanvallen/fouten die in praktijk niet zo relevant zijn. En ja, daar maakt marketing dankbaar gebruik van. In andere security evaluatie methoden zoals Common Criteria definieer je wat de eigenschappen zijn die je in het product zoekt ...