Os bancos tem focado na melhoria da autenticação para evitar os keyloggers. Foi assim com o teclado virtual, está sendo com os cartões com senhas e secureIDs.

Não vai funcionar. Os backdoors vão migrar do roubo de credenciais para roubo de sessões (quando a autenticação forte é usado só no login) e para a alteração dinâmica de dados (alterar a conta destino de uma transferência, por exemplo). É muito mais "limpo", dá mais resultado e funciona até mesmo em sistemas com autenticação multifatorial.

A saída seria assinar as transações, com o usuário vendo o que está assinando. Mas, de novo, o código rodando localmente pode alterar o "assinador". Na minha visão, auxiliar o usuário a evitar a presença de código malicioso em sua máquina e melhorar as técnicas de detecção e prevenção são as melhores saídas.

Um usuário rodando efetivamente com poucos privilégios na estação definitivamente é mais eficaz. Eu não tenho medo de usar sistemas com autenticação simples se eu puder garantir que não há código malicioso na máquina.