30 éve anonftp-t használtunk ezerrel, meg olyan vendégkönyvet a weboldalon, ami direktben fájlba rakta le a form-ban beírt bármit is, és a megjelenítés annyiból állt, hogy a fájlokat szépen felolvasta, és betolta a html-oldalba...
Ha annyira felkészült és kifinomult/célzott támadások lennének most is, mint húsz éve, akkor sem biztos, hogy a user/pass(+SMS) megfelelő biztonságot nyújtana - de a támadások, az adathalászat az olyan mértékű, hogy ami 20 éve (vagy ami 5-10 éve is akár) jó/kellően biztonságos volt, az manapság már alkalmatlan normális biztonság nyújtására. Anno az SSL 2.0 is elég volt, manapság meg a TLS1.2-nek is rezeg a léc...
"Hard token kényelmetlen - a banknak, magamnak meg hagy döntsem már el, hogy mi a kényelmes és mi nem." - A banknak _is_ és az ügyfélnek _is_. A banki, szolgáltatói folyamatokat nem egyedi igényekre, hanem az ügyfélkörre kell szabni, az elvárt biztonság és kényelem között egyensúlyozva. Én pl. rühellem, hogy a VPN-hez usb-tokent kell használni - emiatt például mobilról, még kritikus helyzetben sem tudok távolról dolgozni - de megértem, hogy a 2FA engem _is_ véd attól, hogy harmadik fél elvigye az identitásomat.
Eldöntheted, hogy neked mi a kényelmes és mi nem, ahogy az étteremben is eldöntheted, hogy mit eszel: megnézed az étlapot, és kiválasztod. A banknál/szolgáltatóknál is így van: kapsz egy "étlapot", amin a választható szolgáltatások szerepelnek, és abból a számodra legkevésbé kényelmetlent választod.