Возвращаемся к истокам
Во вчерашнем обсуждении уважаемые комментаторы, несмотря на воскресенье, высказали ряд мыслей. И даже показали мне карту одноразовых паролей. Спасибо, мы такое чудо техники уже видели. Но речь идёт об аутентификации банка перед клиентом; обратная же задача может считаться уже решённой.
А теперь - правильный ответ. Он был внедрён относительно недавно в немецком Commerzbank. Но придумали этот способ военные разведчики ещё в начале XX века. К каждому паролю назначается отзыв.
Простые списки одноразовых паролей (а также их генераторы) давно внедрены. Банк запрашивает у клиента пароль номер такой-то, клиент смотрит в список и называет его. Способ работает как при телефонной связи, так и в онлайне.
Усовершенствование в том, что к каждому паролю (Transaktionsnummer, TAN) приписан ещё проверочный код (Bestätigungsnummer, BEN), каковой код банк должен сообщить клиенту в обмен на пароль. Если получен некорректный BEN, надо сразу поднимать тревогу и блокировать счёт.
Список TAN-BEN присылается клиенту бумажной почтой в автоматически запечатанном конверте (наподобие конвертов с пин-кодом). Он содержит под сотню пронумерованных пар "пароль-отзыв". Заменяется на новый, когда исчерпано 70% списка.
Идея, конечно, нехитрая. В какой-то степени её можно рассматривать как шаг назад от современных ИТ. Напомню, что протокол HTTPS предусматривает обязательную аутентификацию сервера перед клиентом и опциональную - клиента перед сервером. Чего же ещё не хватает? Почему для борьбы с фишингом недостаточно HTTPS?