<div dir="ltr">An unfortunate fact is that many companies don't support anything other than sending a token via email, SMS, or sometimes a voice call. I've seen several large banks, insurers, etc. who do this. It's maddening when you sign up for access to something and are restricted to these options.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Apr 19, 2021 at 11:49 AM William Herrin <<a href="mailto:bill@herrin.us">bill@herrin.us</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Mon, Apr 19, 2021 at 5:54 AM Mark Tinka <mark@tinka.africa> wrote:<br>
> It's all about convenience, and how much they can get<br>
> done without speaking to human.<br>
<br>
Hi Mark,<br>
<br>
Convenience is the most important factor in any security scheme. The<br>
user nearly always has a choice, even if the choice is as<br>
rough-grained as "switch to a different company." If your process is<br>
too onerous (the user's notion of onerous) then it simply won't be<br>
used. An effective security scheme is the strongest which can be built<br>
within that boundary.<br>
<br>
> If a key fob can be sent to them - preferably for free - that would help.<br>
<br>
Hint: carrying around a separate hardware fob for each important<br>
Internet-based service is a non-starter. Users might do it for their<br>
one or two most important services but yours isn't one of them.<br>
<br>
Regards,<br>
Bill Herrin<br>
<br>
-- <br>
William Herrin<br>
<a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a><br>
<a href="https://bill.herrin.us/" rel="noreferrer" target="_blank">https://bill.herrin.us/</a><br>
</blockquote></div>