Mechanizmy uwierzytelniania wieloskładnikowego są obecnie szeroko wykorzystywane w bankowości elektronicznej czy serwisach finansowych. Tutaj do niedawna najpopularniejszą metodą uwierzytelniania był prosty wariant tokenów OTP, a mianowicie karty kodów iTAN (tzw. zdrapki). Jak dowodzą doświadczenia wielu banków na świecie, kody iTAN są zupełnie bezużyteczne w zderzeniu np. z trojanem Zeus/Zbot, realizującym ataki typu MITM przez zagnieżdżanie się na komputerach użytkowników. Trojany tego typu podmieniają dane transakcyjne "w locie", modyfikując dane beneficjenta oraz kwotę wykonywanych operacji. Co gorsza, modyfikacje przeprowadzane są tak, że zmiany w saldzie internetowego rachunku są niewidoczne dla użytkownika, a historia operacji zostaje zatarta. W takiej sytuacji nieco lepiej sprawdzają się inne mechanizmy uwierzytelniania OOB (Out of Band), takie jak hasła OTP przesyłane SMS-em w chwili, kiedy zlecenie dociera do banku. Wówczas dodatkowo weryfikowana jest już sama transakcja przed ostateczną akceptacją przez bank. Niestety, nie jest to mechanizm stuprocentowo skuteczny ze względu na czynnik ludzki. Użytkownicy rzadko kiedy sprawdzają szczegóły właściwej transakcji i bezmyślnie ją autoryzują.
Jedynym ratunkiem wydaje się więc wprowadzanie dodatkowych mechanizmów weryfikacji i uwierzytelniania. Jest to zupełnie osobny temat. Warto jedynie wspomnieć, że od pewnego czasu, zwłaszcza instytucje finansowe stosują tzw. risk based authentication. Jest to grupa technologii, której zadaniem jest zastosowanie odpowiednich mechanizmów uwierzytelniania w zależności od weryfikacji kilkunastu parametrów "otoczenia" osoby uwierzytelniającej się. Możliwe jest m.in. wykorzystanie geolokacji, właściwości systemu, z którego następuje logowanie, typu sieci, charakteru transakcji itd. RSA określa ten typ uwierzytelniania terminem "adaptive authentication". Mechanizmy tego typu są obecnie włączane do rozwiązań zapobiegającym oszustwom. Instytucje finansowe wprowadzają także karty kredytowe z wbudowanymi tokenami OTP. Z uwagi na parametry użytkowe (grubość karty i czas pracy baterii) z reguły są to tokeny event based.
Mówiąc o uwierzytelnianiu webowym, dobrze jest pamiętać o dwóch głównych architekturach uwierzytelniania: SAML i OpenID. Obie realizują koncepcję SSO (Single Sign-On) na stronach WWW, jednak istnieją między nimi pewne różnice (por. tabela niżej).
Na rynek uwierzytelniania wieloelementowego wprowadzane są również usługi typu Authentication-As-A-Service (AAAS). Przykład takiego rozwiązania może stanowić TriCipher Armored Credential System. W tej usłudze część kodu uwierzytelniającego powstaje na stacji użytkownika, a część w systemie TriCipher (ID Vault), który może "rezydować" w organizacji albo być udostępniany w infrastrukturze firmy TriCiper. Dopiero połączenie tych dwóch elementów pozwala użytkownikowi prawidłowo się uwierzytelnić.
