Da quello che ho visto, di solito chiedono nome utente (o ID account) e password, quindi tre caratteri da una seconda passphrase. Questo aiuta a prevenire una grande maggioranza di keylogger e grabber non mirati, dato che catturare un login probabilmente non ti darà abbastanza informazioni per accedere una seconda volta.
In termini di sicurezza, ci sono alcuni modi in cui questo può funzionare. Il metodo più sicuro e comune è un Hardware Security Module (HSM), che è essenzialmente un dispositivo black-box che consente di eseguire operazioni limitate sui dati al suo interno, con misure di sicurezza sia hardware che software. L'idea è che puoi dire all'HSM di impostare la passphrase dell'utente o verificarne tre caratteri, ma non puoi chiederlo di dirti l'intera passphrase.
Un'altra opzione è crittografare le password in un database accessibile tramite un servizio Web interno che emula la funzionalità di scrittura / verifica dell'HSM. È meno sicuro, ma ha migliorato le opzioni di costo e può essere più flessibile se la banca ha un team di sviluppo interno.