Столкнулся с одноим банком, который хреновато защищает вклады. По сути, только сличением лица с фото в паспорте предлагают ограничить безопасность. Отсюда и вопрос - насколько реально подменить лицо, чтобы сделать его как у другого человека?
В принципе вполне реально - нужно взломать ваш сервер и использовать его как прокси. Так что если вы придумаете какую-то другую защиту, например с помощью ключей api, то их так же можно получить взломав ваш сервер. Даже проще чем ip - не нужно повышать права до root - достаточно читать данные доступные серверу.
Да - защита только сличением IP не самая технологичная и надежная. Но все остальное еще менее надежное. Более того всем остальным нельзя усилить защиту по IP.
P.S.
Да, есть другое способ еще - взломать саму платежную систему, но опять же - тогда и IP подменять не надо будет.
