Идеи не плохие.
В США, большинство банков почитало отчет в котором были рекомендации о укреплении защиты доступа к виртуальному банку. Рекомендаций было много. Одна из более важных гласит что на входе, пользователь должен доказать что он это действительно он путем многофакторной аутентефикации, где факторы друг с другом не связаны. Это, в свере компютерной безопасности, означает что пользователь должен доказать что он что–то знает и у него что–то есть при себе: например имя пользователя/пароль как пример первого фактора, и устройство выдающее случайные коды, или, как в случае Сбербанка, имя пользователя и список одноразовых паролей. Эквивалент физического контроля доступа это владение магнитной карточкой к которой прилагается необходимый к введению в замок код – друг без друга, ни код не карточка сами по себе доступа не дадут.
В США, интернетовские порталы банка хотят имя пользователя, пароль, и, для подтверждения, вопрос/ответ (Где родился/вырос, имя первого питомца, т.д., и т.п.). Все это является одним типом фактора, и, как только узнается, может быть использован для получения доступа.
Проблема получается такой: в США, закон гласит что пользователь не отвечает за денежный урон понесенный в результате мошенничества. Санкционированный достпуп к интернет–порталу оным не является – с точки зрения банковских систем, пользователь правильно все ввел, а то что он деньги все перевел в Зимбабве – это не банкова проблема.
Напомнило письмо присланное одному из моих бывших соратников его банком по поводу кода доступа к его банковской карточки для снятия денег со счета в банкомате:
Bank letter wrote:
Уважаемый ХХХХХХХХ,
В целях улучшения защиты вашей банковской карточки, мы меняем длинну кода с 8 чисел до 4.
При ближайшей возможности, поситите пожалуйста ваш ближайший филиал для нанесения новой информации на Вашу банковскую карточку.