A mobiltelefon mobil, könnyen hordozható, a desktop, de még a notebook sem az. Az SMS 1024 sebből vérzik, a hard token pontosan megduplázza (minimum, ha NFC-s vagy kijelzős, ha nem, akkor még megfelelő kábel is kell) a használandó eszközök számát.
Azért a "malwaretől hemzsegő google play" erős csúsztatás - bónuszként a Lunux/windows környezetben alapból milyen mértékű szeparáció van a futó alkalmazások és azok adatai között? Na mindezt nézd meg Android/iOS esetében is. A frissítéseket (nem) megkapó eszközök Windows (XP, 7, és hasonlók) esetében is dettó megvan, viszont a böngésző-OS környezetnél a bank nem tud minimum verziót előírni, maximum azzal, hogy a TLS-ből a régi verziókat tiltja. A mobilos app esetén meg simán megoldható (és a Google pl. ki is kényszeríti) az, hogy adott API szint legyen elvárt - azaz a régi Android-os eszközöket ne lehessen használni.
Mondom, ilyen hozzáállással menj be a bankfiókba ügyet intézni, de előtte természetesen nézz utána közhiteles forrásból, hogy az adott bankfióknak tűnő hely valóban annak a banknak a valódi fiókja, nem pedig átverés, sőt ha kp.-t használsz, akkor mielőtt elfogadod, vidd be a nemzeti bankba, és vizsgáltasd meg,hogy valódi-e...