Kiegészítem: valós ügyfél- illetve üzleti igény. A George "megszületése" mögött kifejezetten üzleti igények (és a kiváltásra került Electra...) voltak.
"Egy authentikációs megoldás amúgy nem biztonságosabb, ha nyílt szabványra épül, minthogy saját magunk összetákoljunk valamit?"
Az usernév+jelszó+2FA kombináció alkalmazása kapcsán honnan tudod, hogy melyik bank, milyen megoldást használ? Nekem volt szerencsém (teljesen véletlenül) a George átállás időpontjában látni, hogy mi csinálja az authentikációt (nem fogom leírni), mert minimális ideig kint volt a webes felülete. Nos, az egy kifejezetten jó opensource eszköz, ha minden igaz.
Egy AAA nem csak akkor lehet jó és megbízható, ha annak az utolsó betűig közzéteszik a forráskódját, ezt nem szabad elfelejteni. Vannak alapvető és nem-annyira-alapvető-de-kötelező biztonsági elvek, módszerek, amiket ezen rendszerek tervezésénél, implementálásánál figyelembe kell venni - ráadásul úgy, hogy a kódot, az elkészült rendszert nem csak papíron vizsgálják úgy blackbox, mint whitebox jellegű auditokkal.