Recentemente ho cambiato banca e il servizio di mobile banking della nuova banca mi ha fatto fare alcune domande.
Il telefono è autenticato / registrato presso la banca che deve conservare qualcosa come una tupla <IMEI, username> . A questo punto, tutte le altre autenticazioni vengono eseguite sul telefono. Quindi, se ho bisogno di un codice per impostare un beneficiario, viene inviato tramite SMS. Per altre funzionalità, l'app stessa genera un codice (ad esempio, per accedere al servizio di banking online tramite browser desktop).
Ovviamente, in caso di compromissione del dispositivo, il multi-factor su 1 canale non è abbastanza buono da impedire a un utente malintenzionato di accedere ai miei soldi!
La mia banca precedente usava un ingombrante lettore di schede, quindi inizialmente l'idea di non doverlo portare in giro era allettante, ma c'è un miglioramento intrinseco della sicurezza lì.
In che modo altre banche fanno questo meglio, nella tua esperienza? O sto soffiando la probabilità che uno scenario del genere sia molto più di quanto non sia in realtà?