17 Октября, 2012

Об идентификации клиента Интернет-банка по IP и MAC-адресу

Алексей Лукацкий
Мне казалось, что тема идентификации клиента Интернет-банка по IP- и MAC-адресу не стоит и выеденного яйца, но как-то уж активно про нее все говорят, что не высказаться было бы неправильным.

Итак, на сайте Банка России выложен проект указания о внесении изменений в Положение 262-П "Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". Все указание заключается в единственной поправке - заставить банки идентифицировать своих клиентов еще и по IP- и MAC-адресам, посредством которых физическим лицом осуществляется доступ к банковскому счету.

Я не знаю, кому пришла в голосу столь светлая мысль. Врядли айтишника Банка России, т.к. там работают люди грамотные и они бы сразу сказали, что бессмысленно в условиях динамической IP-адресации идентифицировать физлицо, которое сегодня подключается к Интернет-банкингу из дома, завтра с работы, послезавтра из отпуска или командировки и может использовать для этого смартфон, ноутбук, стационарный компьютер, планшетник и т.п. И врядли спрашивали безопасников Банка России, которые сказали бы, что подменить IP-адрес устройства большого труда не составляет, а уж скрыться за прокси тем более. С MAC-адресом ситуация вообщения забавная - MAC-адрес клиента никогда не отразится в логах систем ДБО, т.к. он туда просто не передается. В этих логах всегда будет фигурировать MAC-адрес ближайшего к серверу ДБО маршрутизатора и, как правило, это будет маршрутизатор банка.

Иными словами, целей идентификации клиентов и выгодопроиобретателей данная инициатива не достигает, а проблем для банков создает немало. Как можно повлиять на нее? Вариантов ровно три - изнутри Банка России, снаружи и обойти вводимые ограничения. Ни первый, ни второй вариант нам недоступны. Остается третий. Поэтому предлагаю просто в досье на клиента писать в поле его IP-адреса:
  • 0.0.0.0 для IPv4
  • ::/0 для IPv6.
Это формально позволит выполнить требования Банка России и Росфинмониторинга, но при этом не наложит никаких ограничений на работу клиентов. При этом регистрировать в логах будет именно тот IP-адрес, с которого будет осуществляться в конкретный момент времени. С MAC-адресом, к сожалению, ничего сделать не удастся - надо будет прописывать просто ближайший адрес маршрутизатора ибо просить клиента назвать его - это будет очень 
или введите имя

CAPTCHA
17 Октября, 2012
не согласен
Данный подход исповедуется банками давно. Привязка по IP и mac - один из хороших методов. как банк получит mac? через свое ПО банк-клиент, через скрипт и т.п. IP - клиент банка как правило имеет выделенный белый адрес, вот его и указывают в договоре. Уже много организаций, ПБОЮЛ-ов пострадало в блуждениях без привязки. А после привязки - стало намного легче. Плюс лимиты на операции. Догадались также токены использовать начать. В случаем поломки ПК, сетевой карты - обновить информацию для банка.
0 |
  • Поделиться
  • Ссылка
17 Октября, 2012
:)
- Привязка по IP и mac - один из плохих методов. MAC адрес элементарно подменяется (я уже не говорю про виртуалки с произвольными маками). - IP - клиент банка НЕ всегда имеет выделенный белый адрес, кроме того, нет никакой гарантии, что белый адрес не будет произвольно сменен провайдером (в случае с физ. лицом, а ПБОЮЛ-ы, как правило подключается именно как физики). - Логично сделать фильтрацию не жестким требованием, а подключаемой услугой. В этом случае и безопасности прибавится у подключивших и проблем с подключениями у не будет у тех, кто отказался. А если подключившие получат отказ в доступе по причине несоответствия IP, то они будут винить только себя, а не навязчивые правила, писаные изрядными чудаками.
0 |