Por lo que he visto, generalmente piden su nombre de usuario (o ID de cuenta) y contraseña, luego tres caracteres de una segunda frase de contraseña. Esto ayuda a prevenir una gran mayoría de registradores de teclas y capturadores de formularios no dirigidos, ya que la captura de un inicio de sesión probablemente no le proporcionará suficiente información para iniciar sesión por segunda vez.
En términos de seguridad, hay algunas maneras en que esto puede funcionar. El método común más seguro es un Módulo de seguridad de hardware (HSM), que es esencialmente un dispositivo de caja negra que permite realizar operaciones limitadas en los datos que contiene, con medidas de seguridad de software y hardware. La idea es que puede decirle al HSM que establezca la frase de contraseña del usuario, o verificar tres caracteres, pero no puede pedirle que le diga toda la frase de contraseña.
Otra opción es cifrar las contraseñas en una base de datos a la que se puede acceder a través de un servicio web interno que emula la funcionalidad de escritura / verificación del HSM. Es menos seguro, pero tiene mejores opciones de costo y puede ser más flexible si el banco tiene un equipo de desarrollo interno.