Odpověď na názor

Ten třetí faktor (někdo jste) je stále ještě dost nespolehlivý, zejména v mobilním provedení. Na jedné straně můj služební iPhone usilovně odmítá můj načtený otisk či obličej, takže bych reálně ani nezaplatil, na druhé straně kolegovy děti jeho Android odemknou (nebo odemkly - už to je nějakou dobu, kdy to zkoušel) svým obličejem.
Takže stále existuje nemalé procento uživatelů, kteří prostě tento faktor použít nemohou.

Za mne je základem prostě oddělení kanálů: zařízení, na kterém zadáváte/ověřujete transakci nesmí být totožné s tím, na kterém to ověření provádíte, a nesmí sdílet stejnou datovou trasu.
(Což, mimochodem, prakticky vylučuje bankovnictví v mobilu v běžné podobě.)