رمز دوم یک بار مصرف؛ امنیت بیشتر یا دردسر مضاعف؟

با نزدیک‌شدن به موعد اجباری‌شدن استفاده از رمز دوم پویا، دشواری احتمالی استفاده از این روش به دغدغه‌ی بسیاری از کاربران تبدیل شده است.

رمز دوم پویا یا رمز یک‌بارمصرف قرار است تا کمتر از دو ماه دیگر جایگزین رمزهای ثابت یا ایستا در تمامی خریدهای اینترنتی شود. استفاده از این نوع رمزها به‌منظور جلوگیری از انجام کلاهبرداری‌های اینترنتی از حساب شهروندان انجام می‌شود. اما رمز پویا چیست و چگونه امنیت حساب مشتریان بانکی را تضمین می‌کند؟ آیا راهکار جایگزین و کم‌دردسرتری برای تأمین امنیت کاربران در خرید اینترنتی وجود ندارد؟ شهروندان دیگر کشورهای جهان از چه روش‌هایی برای خرید اینترنتی استفاده می‌کنند؟

اولین زمزمه‌ها

چند روز پیش اعلام شد، استفاده از رمز دوم پویا از ابتدای دی ماه امسال اجباری می‌شود. البته این اولین باری نیست که بانک مرکزی از لزوم استفاده از رمزهای یک‌بارمصرف در تراکنش‌های اینترنتی می‌گوید. پیش از این سرهنگ مصطفی نوروزی، رئیس مرکز مبارزه با جرایم ملی و سازمان‌یافته‌ی پلیس فتا در آذرماه ۹۷ اعلام کرده بود، با پیگیری پلیس فتا ناجا و با همکاری بانک مرکزی، تمامی بانک‌ها و مؤسسات مالی از همان ماه ملزم به ارائه‌ی سرویس رمز دوم یک‌بار مصرف شده‌اند. همان زمان اعلام شد: «براساس دستور بانک مرکزی، استفاده از رمزهای دوم پویا برای تمامی دارندگان کارت‌های بانکی از ابتدای خرداد ماه سال ۱۳۹۸ ضروری است و رمز دوم ایستا، به‌طور کامل حذف و با رمزهای یک‌بارمصرف جایگزین خواهد شد.»

استفاده از رمز دوم پویا ابتدا قرار بود از خرداد امسال اجباری شود

کمتر از ۱۰ روز به موعد اجباری‌شدن استفاده از رمز دوم پویا باقی مانده بود که معاون فناوری‌های نوین بانک مرکزی اعلام کرد: «خریدهای اینترنتی کمتر از ۵۰۰ هزار تومان نیازی به رمز پویا ندارد.» همان روز بانک مرکزی بخشنامه‌ای منتشر کرد که در آن دیگر خبری از «الزام و اجبار» استفاده از رمز دوم پویا و «حذف رمز ایستا» نبود. اگرچه در قسمتی از این بخشنامه آمده بود: «از ابتدای خردادماه تأمین امنیت مشتریان نظام بانکی در تراکنش‌های بدون حضور کارت بر عهده‌ی بانک‌ها بوده و هرگونه مسئولیت سوءاستفاده از حساب های مشتریان به دلیل آسیب‌پذیری‌های امنیتی در سرویس‌های بانکی مستقیما به عهده بانک است»، در ادامه به‌وضوح مشخص بود که ظاهرا بانک مرکزی از موضع پیشین خود کمی عقب نشسته است. درقسمتی از بخشنامه‌ی مذکور آمده بود:

در صورتی که بانک بتواند راه‌حل مطمئن دیگری را، که با تأیید بانک مرکزی متضمن تأیید هویت قوی مشتری پیش از برداشت از حساب مشتری باشد را اجرایی کند، می‌تواند از این راهکار به‌عنوان جایگزین رمز پویا استفاده کند.

تنها چند روز پس از انتشار این بخشنامه، مشخص شد که اجرای طرح رمز دوم یک‌بار مصرف به‌تعویق افتاده است و اعلام شد «مشکلات پیش آمده برای نصب اپلیکیشن‌های ایرانی روی گوشی‌های اپل» و «نادرست بودن شماره تلفن همراه ۷۰ درصد مشتریان نظام بانکی» ازجمله دلایل به‌تعویق‌افتادن این طرح است.

بانک مرکزی ابتدای شهریورماه امسال دوباره از لزوم استفاده از رمزهای پویا در تراکنش‌های مبتنی بر کارت‌های بانکی به شبکه بانکی کشور خبر داد. این بار قرار است از اول دی‌ماه ۹۸ استفاده از رمز دوم پویا اجباری شده و رمزهای ایستا کنار گذاشته شود.

رمز پویا چیست؟

رمز یک‌بار مصرف، رمز پویا یا OTP (مخفف One-Time Password) رمزی است که گیلبرت ورنام، مهندس آزمایشگاه‌های بل در سال ۱۹۱۹ ابداع کرد و تنها برای یک ورود یا انجام تراکنش اعتبار دارد. این رمز نهایتا ۶۰ ثانیه معتبر است و پذیرش آن توسط بانک در یک بازه‌ی زمانی مشخص، تنها یک‌بار صورت می‌پذیرد. مشکل رمز ایستا آنجا بغرنج می‌شود که اکنون مشاهده می‌کنیم، افراد برای کارت‌های متعدد خود از یک رمز ثابت استفاده می‌کنند.

فیشینگ عامل شکل‌گیری یک‌سوم جرایم سایبری در کشور است

رمز پویا درواقع نوعی «احراز هویت چند عاملی» (MFA) است که بسیاری از ما تجربه‌ی کارکردن با آن را هنگام استفاده از سرویس‌های ایمیل و پیام‌رسان‌ها داریم. به‌کارگیری این رمز بسیاری از معایب رمز ایستا را رفع می‌کند. بنا به ادعای مایکروسافت، استفاده از احراز هویت چندعاملی کاربران را دربرابر ۹۹/۹ حملات مصون می‌کند. گوگل نیز ادعا می‌کند با استفاده از تأیید چندمرحله‌ای، می‌توان جلوی ۹۹ درصد حملات فیشینگ را گرفت. به‌گفته‌ی سردار سید کمال هادیان فر، رئیس پلیس تولید و تبادل اطلاعات ناجا (فتا)، برداشت‌های غیرمجاز از حساب بانکی افراد در سال ۹۶ نسبت به سال ۹۵ بیش از ۶۱ درصد افزایش داشته و فیشینگ عامل شکل‌گیری یک‌سوم جرائم سایبری در کشور است.

اکنون بانک مرکزی، با مقررکردن بازه‌های زمانی مشخص برای عملی‌کردن این طرح جدی، بانک‌ها را پس از بازه‌های زمانی یادشده مسئول هرگونه خسارت واردآمده به مشتریان ازطریق فیشینگ اعلام کرده است.

رمز پویا چگونه ایجاد می‌شود و چگونه کار می‌کند؟

در حال حاضر بانک‌ها اپلیکیشن‌های ویژه‌ای را در وب‌سایت خود معرفی کرده‌اند. برای فعال‌کردن رمز پویا نیاز است که افراد به وب‌سایت کارت بانکی خود مراجعه کرده و نسبت به فعالسازی آن اقدام کنند. پس از آن لازم است، هر بار هنگام خرید یا انتقال وجه آنلاین، کاربر هم‌زمان اپلیکیشن مذکور را باز کرده و مدت زمان معینی تا نهایت ۶۰ ثانیه برای آن مشخص می‌کند و سپس تراکنش موردنظر خود را انجام دهد. به این صورت می‌توان اطمینان حاصل کرد که امکان هیچ‌گونه سوءاستفاده از کارت شخص وجود نخواهد داشت. اپلیکیشن بانک‌ها این رمز را با استفاده از الگوریتم پیچیده‌ای تولید می‌کند که دسترسی به آن برای هکر‌ها بسیار پیچیده یا حتی غیرممکن است. به‌علاوه بانک‌ها می‌توانند ازطریق پیامک نیز برای ارسال رمز اقدام کنند. امید است در آینده امکان ارسال کد یک بار مصرف ازطریق USSD (ارسال پیام از طریق کد دستوری) نیز در تمام بانک‌ها فراهم شده تا جمع روش‌های کسب رمز یک‌بار مصرف موجب شود تا تمام کاربران حتی کسانی که گوشی غیرهوشمندی استفاده می‌کنند یا درکل گوشی در اختیار یا در دسترس ندارند، از خدمات غیرحضوری بهره ببرند. علاوه‌بر این، می‌توان روش‌هایی مانند استفاده از اپلیکیشن تأیید هویت برای تمامی بانک‌ها را به کار گرفت تا تمام کارها در یک اپلیکیشن انجام شود. اما مشخص است که هنوز تا آن زمان فاصله داریم.

رمز دوم پویا

الگوریتم‌های تولید رمز OTP به‌طور معمول از اعداد تصادفی، شبه‌تصادفی یا توابع درهم‌ساز استفاده می‌کنند تا کار حدس رمز را برای هکر دشوار کنند. انجام چنین کاری بسیار حائز اهمیت است چرا که در غیر این صورت، پیش‌بینی رمزهای یک‌بار مصرف در آینده با مشاهده‌ی رمزهای قبلی ساده‌تر می‌گردد. رمزهای یک‌بار مصرف در سرتاسر دنیا به روش‌های مختلفی اعم از تلفن، پیامک، توکن اختصاصی و کپی OTP به کاربر ارائه می‌شوند که روش چاپ آن ارزان‌ترین و پیامکی، گران‌ترین محسوب می‌شود. می‌توانید از طریق این لینک درباره‌ی نحوه‌ی ساخت رمزهای یک‌بار مصرف بیشتر بخوانید.

نمونه‌های مشابه در دیگر کشورها

درحالی‌که بیشتر بانک‌های جهان سرویس رمز دوم پویا ارائه می‌دهند، استفاده از این سرویس در برخی از آن‌ها اجباری نیست

تأیید پرداخت و استفاده از رمزهای یک‌بار مصرف از روش‌های مرسوم بانک‌ها در اغلب کشورهای جهان است. بدین معنی که مشتریان بانک‌ها برای خریدهای اینترنتی و واریز وجه بیشتر مواقع ملزم به دریافت رمز یک‌بار مصرف به‌مدت زمان محدود و ازطریق پیامک یا برنامه‌های نرم‌افزاری هستند. بیشتر بانک‌های بزرگ و معتبر جهان مانند بنک آو امریکا خدمات ارسال رمز دوم پویا را ازطریق پیامک به مشتریان خود ارائه می‌دهند. البته سیاست اجبار به استفاده از این روش‌ها هنگام خرید آنلاین در بین بانک‌ها متفاوت است. برای مثال بنک آو امریکا استفاده از رمز یک‌بار مصرف (که آن را SafePass می‌نامد) را از سال ۲۰۱۸ از حالت اجباری خارج کرده است.

مزایا و معایب

پس از اعلام خبر الزامی‌شدن رمز پویا از سوی بانک مرکزی، بسیاری از هموطنان نسبت به آن واکنش نشان دادند و از مشکلات طرح پیش رو گفتند (برای آشنایی با نمونه دغدغه‌های کاربران شبکه بانکی کشور، می‌توانید نظرات زیر خبر اجباری شدن استفاده از رمز دوم پویا را در کلیپ موبایل مشاهده کنید). با اینکه قرار بوده فاز اول اجرایی‌شدن این بخشنامه آذرماه صورت بگیرد، آماده‌نبودن زیرساخت تعدادی از بانک‌ها برای عملی‌کردن آن، مانع شد و یک ماه به تعویق افتاد. این در حالی است که برخی بانک‌ها سال‌ها است امکان استفاده از رمز یک‌بار مصرف را دراختیار مشتریان خود قرار داده‌اند.

مقاله‌ی مرتبط:

محمدرضا جمشیدی، دبیرکل کانون بانک‌های خصوصی و مؤسسه‌های اعتباری، با تأیید اینکه بسیاری از بانک‌ها هنوز آمادگی اجرای این بخشنامه را در مدت کوتاه تعیین‌شده تا ابتدای خردادماه را ندارند، اظهار داشت: «در گذشته برخی بانک‌ها رمزهای پویا را برای مشتریان خود اجرایی کردند هرچند الزامی در کار نبود و برای امنیت بیشتر به صاحبان کارت می‌گفتند که بهتر است از رمزهای دو یا چند عاملی استفاده کند.» وی افزود:

بخشنامه اخیر بانک مرکزی یک الزام برای شبکه بانکی ایجاد کرده که هرچند هدف اصلی آن مقابله با کلاهبرداری اینترنتی است اما می‌توان در کنار آن مباحثی چون مبارزه با پولشویی، احراز هویت صاحبان حساب و رصد تراکنش‌های بانکی را نیز پیگیری کرد.

جمشیدی گفت: «از ابتدای آذرماه مسئولیت جبران خسارت ناشی از هک کارت‌های بانکی توسط کلاهبرداران برعهده بانک‌ها نهاده شده است درحالی‌که بانک‌ها درخواست دارند مهلت بیشتری به آن‌ها داده شود.»

اما آیا اجباری‌شدن رمز پویا حقیقتا چالش‌برانگیز و دشوار است؟

قطعا در ابتدای راه مشکلاتی وجود خواهد داشت. با اینکه مدت زمان زیادی تا اجباری‌شدن استفاده از رمز دوم پویا باقی نمانده است، با مراجعه‌ی حضوری به برخی بانک‌ها متوجه شدیم که حتی اکثر اپراتورهای شعب بانک‌ها از سازوکار استفاده از رمزهای یک‌بار مصرف و نحوه‌ی حل‌وفصل مشکلات مرتبط با آن آگاه نیستند. اما درنهایت، باید به تغییرات بین استفاده از دو نوع رمز با دقت بیشتری نگریست. کاربران اکثرا شکایت می‌کنند که تهیه‌ی رمز پویا، زمان زیادی را از آن‌ها هدر خواهد داد و درضمن هزینه‌ای برای ارسال‌شدن پیامک به آن‌ها تحمیل می‌شود یا اینکه پیچیدگی کار به‌دلیل نیاز به نصب اپلیکیشنی جدید بیشتر می‌شود.

خرید اینترنتی / online shopping

باید اشاره کنیم که خوشبختانه می‌توان اپلیکیشن مربوط به تولید رمز پویا را بدون مشکل، پیش از خرید استفاده و برای آن مدت مشخصی تعیین کرد. این یک قدم اضافه اما آسان، با مزیتِ فراهم‌آوردن حداکثر میزان امنیت در استفاده از کارت بانکی محسوب می‌شود. برخی اوقات هکرها با استفاده از کی‌لاگر قادر هستند مشخصات نوشته‌شده در درگاه پرداخت را ضبط و استفاده کنند. ازآنجاکه امکان ندارد رمز پویا دو مرتبه برای شخصی تکرار شود، هکر دراین‌زمینه شکست خواهد خورد و دسترسی به کارت برای او بسیار سخت یا غیرممکن می‌شود. به‌علاوه پس از ثبت‌نام در اپلیکیشن، نیازی به وصل‌بودن اینترنت برای دریافت رمز پویا نیست.

مسئله‌ی بعدی مربوط به هزینه‌ی پیامک می‌شود که مهدی عبادی، دبیر انجمن فین‌تک ایران، دراین‌زمینه گفته است:

قرار نیست هزینه‌ای از کاربران دریافت شود و در صورتی که روزی این برنامه وجود داشته باشد که هزینه‌ای از مشتریان دریافت شود، مشتریان می‌توانند این امکان را لغو کنند. در گذشته نیز زمانی‌که هزینه‌های پیامک برداشت وجه از حساب برای مشتریان اعمال شد، امکان کنسل کردن این امکان به وجود آمد و من تصور می‌کنم که در این حوزه هم همین اتفاق خواهد افتاد. اما در حال حاضر همه این خدمات را رایگان دریافت می‌کنند و زمانی‌که قرار شد هزینه‌ای دریافت شود، کاربران این حق انتخاب را خواهند داشت.

رمز یک‌بار مصرف با تمام معایب و خطرات احتمالی، از رمز ثابت بسیار امن‌تر است

با برداشتن قدم‌های موفق‌تر در این حیطه، امید می‌رود که بانک‌ها امکان‌های راحت‌تری را برای تهیه‌ی رمز یک‌بار مصرف دراختیار مشتریان خود قرار دهند.

باید توجه داشت که نمی‌توان به استفاده از رمز دوم پویا، مخصوصا انواعی که ازطریق پیام کوتاه ارسال می‌شوند، به‌عنوان ضامن قطعی تأمین امنیت کاربران نگاه کرد. به‌همین دلیل است که بسیاری از بانک‌ها مانند ING ارسال رمز یک‌بار مصرف ازطریق SMS را کاملا کنار گذاشته‌اند. برای آشنایی با معایب رمزهای OTP می‌توانید این مقاله را مطالعه کنید. البته نباید فراموش کرد که رمزهای پویا با تمام خطراتی که ممکن است داشته باشند، همچنان از رمزهای ثابت و ایستا بسیار امن‌تر هستند.

جمع‌بندی

با گسترش روزافزون فروشگاه‌های اینترنتی و پرداخت‌های بی‌شمار از طریق وب، حملات فیشینگ رشد خطرناکی داشته‌اند؛ به‌گونه‌ای که بانک‌ها سخت به فکر چاره برای به‌حداقل‌رساندن این سوءاستفاده‌ها افتادند و درنهایت روشی را که در سطح دنیا بسیار مرسوم و شناخته‌شده است و با نام‌ها و ایجاد فضاهای مختلفی کار می‌کند، به مرحله‌ی اجرا گذاشته‌اند. هدف، ایجاد محیطی امن برای پرداخت‌ها است که لاجرم تغییراتی در شیوه‌ی عملکردی معمول کشور ما ایجاد می‌کند. اگر فهرستی از مزایا و معایب این دو شیوه‌ی پرداخت تهیه کنیم، قطعا کفه‌ی ترازو به سمت مزایای روش جدید سنگینی می‌کند. اما اطلاع‌رسانی و همکاری بانک‌ها برای عملی‌کردن هرچه سریع‌تر امر و همچنین همکاری بانک با مردم و سعی در رفع مشکلات موجود و احتمالی، ضمن رفع ابهامات، اهمیتی بسیار دارد که نباید از آن‌ها غافل شد.

امنیت بیشتر یا دردسر مضاعف؟ نظر شما چیست؟ آیا تابه‌حال از رمز پویا استفاده کرده‌اید؟

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code