Как использование клиентских сертификатов более безопасно, чем TLS плюс стандартная аутентификация?

Клиентский сертификат не более безопасен, чем (хороший, защищенный) пароль. В целом это лучше, чем пароль, потому что менее вероятно (невозможно) совпасть с другим сертификатом (контраст с http://xkcd.com/792/), и менее вероятно (невозможно) быть предположенным (т.е. это является стойким к атакам с подбором по словарю). Это может быть менее вероятно быть обнародованным конечным пользователем, чем пароль.

Клиентские сертификаты считают "чем-то, что Вы имеете" так, чтобы клиентский сертификат и пароль ("что-то Вы знаете") могли удовлетворить любой TFA (двухфакторная аутентификация) требования в различных инструкциях.