Recientemente cambié de banco y el nuevo servicio de banca móvil del banco me ha hecho algunas preguntas.
El teléfono está autenticado / registrado en el banco, que debe estar guardando algo así como un <IMEI, username> tuple. En este punto, toda la autenticación se realiza en el teléfono. Entonces, si necesito un código para configurar un beneficiario, se envía por SMS. Para otras funciones, la aplicación en sí genera un código (por ejemplo, para iniciar sesión en la banca en línea a través del navegador de escritorio).
Obviamente, en el caso de un compromiso del dispositivo, el factor múltiple sobre 1 canal no es lo suficientemente bueno para evitar que un atacante acceda a mi dinero.
Mi banco anterior usaba un incómodo lector de tarjetas, así que inicialmente la idea de no tener que llevar eso era atractiva, pero existe una mejora de seguridad inherente.
¿Cómo hacen otros bancos para hacer esto mejor, en su experiencia? ¿O estoy soplando la posibilidad de que tal escenario sea mucho más de lo que realmente es?