Правда, из публикаций все же многое не очень понятно – о каком именно взаимодействии идет речь и является ли данное положение обязательными требованием или же только рекомендацией.
[spoiler]
Во-первых, не понятно – о каком регистрации идет речь. IP-адрес чаще всего используется "плавающий", он зависит от сетевого провайдера. MAC-адрес является постоянным, но во многих устройствах его можно менять программным образом (т.е. злоумышленник легко сможет установить у себя любой нужный адрес).
Если привязка устройства еще как-то естественна для мобильного банкинга, то идее Интернет-банкинга она в принципе противоречит, поскольку клиенту важно иметь возможность выполнять операции с любой точки входа в Сеть.
Но при этом нужно обратить внимание, что тут имеются в виду операции, выполняемые через личный кабинет клиента. И тут уже давно есть достаточно надежные средства защиты с помощью двухфакторной аутентификации (кроме логина и пароля – еще одноразовые пароли через мобильные телефон или уникальные список одноразовых паролей). Более того, многие банки тут еще выполняют дополнительные меры защиты в виде присылки уведомлений (на телефон и на е-почту) обо всех операциях в личном кабинете.
И это при том, что основной объем мошеннических операций выполняется не через личные кабинеты клиентов, через банковские карты. И тут ситуация выглядит как-то не очень понятно.
Дело в том, то операции в данном случае идут, как я понимаю, не напрямую через банки, а через те или иные сервисы по работе с картами. И при этом видно, что какие-то сервисы используют двухфакторную аутентификацию, а какие-то – нет. То есть получает, что любой человек, обладающий хорошей памятью, вглянув на мою карту (а тем более отсканировав ее), может спокойно делать Интернет-покупки с ее помощью. Например, мы иногда даем карты официанту, чтобы он совершил оплату. Не говоря уже о том, что мы ее даем часто продавцу-кассиру.
Это как-то в принципе не понятно. Почему PIN является секретным (т.е. выдается отдельно в запечатанном конвертике), а код CVS – написан в явном виде?
И почему нельзя сделать двухфакторную аутентификацию обязательной для любых Интернет-операций?
По-моему, у пользователя должно быть право выбора — двухфакторная аутентификация, привязка к устройству, явный CVS, CVS в конверте… А он уже выберет то, что ему больше подходит. Скажем, у меня мобильный банк на простом пароле — мне дороже запоминать все эти коды, чем потерять 500 руб., больше которых у меня на «мобильной» карте попросту нет.
А если на месте кассира сидит хороший профессионал, то снять копию карты не стоит большого труда. Можно даже не иметь отличную зрительную память - можно использовать портативную видеорегистратор.