1. ČSOB i Poštovní spořitelna mají úplně stejné možnosti autentizace/autorizace - pro vsup uživatel/heslo a pro operace čipovku s certifikatem pro (nebezpečné) Windows nebo jednorázové SMS kódy pro všechny platformy.
2. Každé řešení je pouze tak bezpečné, jako jeho nejslabší článek. Potenciální nejslabší články jsou:
a) klient blb
b) napadené Windows
c) špatně implementované bankovnictví
d) špatně navržené bankovnictví
A v praxi většinou d) společně s c) implikuje b) (prostě "jiný OS nepodporujeme") a při případných problémech se pak snaží vše svalit na a).
To mi připomnělo svého času "zabezpečení" ČS, kdy byly na mobil zasílány autorizační SMS. Bohužel to pak ale fungovalo tak, že útočník odposlechl uživatelské jméno a heslo, přilogoval se do aplikace, změnil kontaktní telefonní číslo na nějakou svou předplacenou kartu, provedl převod, sám dostal autorizační SMS a bylo vymalováno.
Jinak další perla byla, že svého času bylo v adresovém řádku prohlížeče vidět číslo smlouvy Servis24 (ať žijí cgi scripty). Takže jste se v kavárně někomu nenápadně koukli přes rameno, strčili do mobilu svou předplacenou kartu, zavolali na Servis24 a mohli jste převádět...
