Уважаемые прошу высказать мнения на счет вариантов аутентификации пользователей.
ПоГУГЛив нашел два варианта аутентификации
1. SSL + Средствами IIS (в моем случае использую IIS 7.5 + PHP5)
2. SSL + На основе сессий (дополнительно поднять уровень безопасности вводом кода отправленного по SMS)
какие еще способы аутентификации существуют?

Прошу поделиться мнениями:
1. о самом безопасном способе аутентификации на ваш взгляд!
2. реально ли подделать сессию в варианте 2 ?
3. может укажите на что стоит обратить внимание при написании скрипта авторизации.

Заранее всем огромное спасибо.