"még a bank indít pert a user ellen" - Ott egyértelműen a makkos asztali gépen összekötött 2FA SMS volt a gáz: az almás identitását "vitték el", onnantól az éjjel kapott sms, ami beszinkronizálódott a fertőzött gépére reggelre el is tűnt, ahogy a hiteligényléshez kapcsolódó további üzenetek is. És igen, ha az user ilyen módon (user+pas+2FA) azonosította magát, akkor a banki automata hitelbírálat végigmegy, és ha pozitív az eredmény, akkor a kiutalás is megtörténik - és bizony az adott hitel visszafizetéséért az ügyfél felel.
"De ha tényleg valóban biztonságosra akarnák csinálni - adnának hard tokent. " - biztonság és használhatóság két ellentétes érdek. A tokent be kell szerezni, azonosítás után oda kell adni az ügyfélnek, nyilván kell tartani, kinél, melyik eszköz van, ha az üf. elhagyja/nem találja, akkor kell letiltási/felfüggesztési lehetőség (mint a bankkártya esetében), ha NFC-s, akkor a banki app-ot fel kell készíteni az NFC-s eszköz használatára, a netbankot is fel kell készíteni a 2FA kód bekérésére, stb.
És az ügyfélnek ké-nyel-met-len. Nem azt fogja választani, ahol a mobil mellé kell még egy kis bigyót is hurcolnia, hanem azt, ahol nem.