چند روز پیش اعلام شد، استفاده از رمز دوم پویا از ابتدای دی ماه امسال اجباری میشود. البته این اولین باری نیست که بانک مرکزی از لزوم استفاده از رمزهای یکبارمصرف در تراکنشهای اینترنتی میگوید. پیش از این سرهنگ مصطفی نوروزی، رئیس مرکز مبارزه با جرایم ملی و سازمانیافتهی پلیس فتا در آذرماه ۹۷ اعلام کرده بود، با پیگیری پلیس فتا ناجا و با همکاری بانک مرکزی، تمامی بانکها و مؤسسات مالی از همان ماه ملزم به ارائهی سرویس رمز دوم یکبار مصرف شدهاند. همان زمان اعلام شد: «براساس دستور بانک مرکزی، استفاده از رمزهای دوم پویا برای تمامی دارندگان کارتهای بانکی از ابتدای خرداد ماه سال ۱۳۹۸ ضروری است و رمز دوم ایستا، بهطور کامل حذف و با رمزهای یکبارمصرف جایگزین خواهد شد.»
کمتر از ۱۰ روز به موعد اجباریشدن استفاده از رمز دوم پویا باقی مانده بود که معاون فناوریهای نوین بانک مرکزی اعلام کرد: «خریدهای اینترنتی کمتر از ۵۰۰ هزار تومان نیازی به رمز پویا ندارد.» همان روز بانک مرکزی بخشنامهای منتشر کرد که در آن دیگر خبری از «الزام و اجبار» استفاده از رمز دوم پویا و «حذف رمز ایستا» نبود. اگرچه در قسمتی از این بخشنامه آمده بود: «از ابتدای خردادماه تأمین امنیت مشتریان نظام بانکی در تراکنشهای بدون حضور کارت بر عهدهی بانکها بوده و هرگونه مسئولیت سوءاستفاده از حساب های مشتریان به دلیل آسیبپذیریهای امنیتی در سرویسهای بانکی مستقیما به عهده بانک است»، در ادامه بهوضوح مشخص بود که ظاهرا بانک مرکزی از موضع پیشین خود کمی عقب نشسته است. درقسمتی از بخشنامهی مذکور آمده بود:
در صورتی که بانک بتواند راهحل مطمئن دیگری را، که با تأیید بانک مرکزی متضمن تأیید هویت قوی مشتری پیش از برداشت از حساب مشتری باشد را اجرایی کند، میتواند از این راهکار بهعنوان جایگزین رمز پویا استفاده کند.
تنها چند روز پس از انتشار این بخشنامه، مشخص شد که اجرای طرح رمز دوم یکبار مصرف بهتعویق افتاده است و اعلام شد «مشکلات پیش آمده برای نصب اپلیکیشنهای ایرانی روی گوشیهای اپل» و «نادرست بودن شماره تلفن همراه ۷۰ درصد مشتریان نظام بانکی» ازجمله دلایل بهتعویقافتادن این طرح است.
بانک مرکزی ابتدای شهریورماه امسال دوباره از لزوم استفاده از رمزهای پویا در تراکنشهای مبتنی بر کارتهای بانکی به شبکه بانکی کشور خبر داد. این بار قرار است از اول دیماه ۹۸ استفاده از رمز دوم پویا اجباری شده و رمزهای ایستا کنار گذاشته شود.
رمز یکبار مصرف، رمز پویا یا OTP (مخفف One-Time Password) رمزی است که گیلبرت ورنام، مهندس آزمایشگاههای بل در سال ۱۹۱۹ ابداع کرد و تنها برای یک ورود یا انجام تراکنش اعتبار دارد. این رمز نهایتا ۶۰ ثانیه معتبر است و پذیرش آن توسط بانک در یک بازهی زمانی مشخص، تنها یکبار صورت میپذیرد. مشکل رمز ایستا آنجا بغرنج میشود که اکنون مشاهده میکنیم، افراد برای کارتهای متعدد خود از یک رمز ثابت استفاده میکنند.
رمز پویا درواقع نوعی «احراز هویت چند عاملی» (MFA) است که بسیاری از ما تجربهی کارکردن با آن را هنگام استفاده از سرویسهای ایمیل و پیامرسانها داریم. بهکارگیری این رمز بسیاری از معایب رمز ایستا را رفع میکند. بنا به ادعای مایکروسافت، استفاده از احراز هویت چندعاملی کاربران را دربرابر ۹۹/۹ حملات مصون میکند. گوگل نیز ادعا میکند با استفاده از تأیید چندمرحلهای، میتوان جلوی ۹۹ درصد حملات فیشینگ را گرفت. بهگفتهی سردار سید کمال هادیان فر، رئیس پلیس تولید و تبادل اطلاعات ناجا (فتا)، برداشتهای غیرمجاز از حساب بانکی افراد در سال ۹۶ نسبت به سال ۹۵ بیش از ۶۱ درصد افزایش داشته و فیشینگ عامل شکلگیری یکسوم جرائم سایبری در کشور است.
اکنون بانک مرکزی، با مقررکردن بازههای زمانی مشخص برای عملیکردن این طرح جدی، بانکها را پس از بازههای زمانی یادشده مسئول هرگونه خسارت واردآمده به مشتریان ازطریق فیشینگ اعلام کرده است.
در حال حاضر بانکها اپلیکیشنهای ویژهای را در وبسایت خود معرفی کردهاند. برای فعالکردن رمز پویا نیاز است که افراد به وبسایت کارت بانکی خود مراجعه کرده و نسبت به فعالسازی آن اقدام کنند. پس از آن لازم است، هر بار هنگام خرید یا انتقال وجه آنلاین، کاربر همزمان اپلیکیشن مذکور را باز کرده و مدت زمان معینی تا نهایت ۶۰ ثانیه برای آن مشخص میکند و سپس تراکنش موردنظر خود را انجام دهد. به این صورت میتوان اطمینان حاصل کرد که امکان هیچگونه سوءاستفاده از کارت شخص وجود نخواهد داشت. اپلیکیشن بانکها این رمز را با استفاده از الگوریتم پیچیدهای تولید میکند که دسترسی به آن برای هکرها بسیار پیچیده یا حتی غیرممکن است. بهعلاوه بانکها میتوانند ازطریق پیامک نیز برای ارسال رمز اقدام کنند. امید است در آینده امکان ارسال کد یک بار مصرف ازطریق USSD (ارسال پیام از طریق کد دستوری) نیز در تمام بانکها فراهم شده تا جمع روشهای کسب رمز یکبار مصرف موجب شود تا تمام کاربران حتی کسانی که گوشی غیرهوشمندی استفاده میکنند یا درکل گوشی در اختیار یا در دسترس ندارند، از خدمات غیرحضوری بهره ببرند. علاوهبر این، میتوان روشهایی مانند استفاده از اپلیکیشن تأیید هویت برای تمامی بانکها را به کار گرفت تا تمام کارها در یک اپلیکیشن انجام شود. اما مشخص است که هنوز تا آن زمان فاصله داریم.
الگوریتمهای تولید رمز OTP بهطور معمول از اعداد تصادفی، شبهتصادفی یا توابع درهمساز استفاده میکنند تا کار حدس رمز را برای هکر دشوار کنند. انجام چنین کاری بسیار حائز اهمیت است چرا که در غیر این صورت، پیشبینی رمزهای یکبار مصرف در آینده با مشاهدهی رمزهای قبلی سادهتر میگردد. رمزهای یکبار مصرف در سرتاسر دنیا به روشهای مختلفی اعم از تلفن، پیامک، توکن اختصاصی و کپی OTP به کاربر ارائه میشوند که روش چاپ آن ارزانترین و پیامکی، گرانترین محسوب میشود. میتوانید از طریق این لینک دربارهی نحوهی ساخت رمزهای یکبار مصرف بیشتر بخوانید.
تأیید پرداخت و استفاده از رمزهای یکبار مصرف از روشهای مرسوم بانکها در اغلب کشورهای جهان است. بدین معنی که مشتریان بانکها برای خریدهای اینترنتی و واریز وجه بیشتر مواقع ملزم به دریافت رمز یکبار مصرف بهمدت زمان محدود و ازطریق پیامک یا برنامههای نرمافزاری هستند. بیشتر بانکهای بزرگ و معتبر جهان مانند بنک آو امریکا خدمات ارسال رمز دوم پویا را ازطریق پیامک به مشتریان خود ارائه میدهند. البته سیاست اجبار به استفاده از این روشها هنگام خرید آنلاین در بین بانکها متفاوت است. برای مثال بنک آو امریکا استفاده از رمز یکبار مصرف (که آن را SafePass مینامد) را از سال ۲۰۱۸ از حالت اجباری خارج کرده است.
پس از اعلام خبر الزامیشدن رمز پویا از سوی بانک مرکزی، بسیاری از هموطنان نسبت به آن واکنش نشان دادند و از مشکلات طرح پیش رو گفتند (برای آشنایی با نمونه دغدغههای کاربران شبکه بانکی کشور، میتوانید نظرات زیر خبر اجباری شدن استفاده از رمز دوم پویا را در زومیت مشاهده کنید). با اینکه قرار بوده فاز اول اجراییشدن این بخشنامه آذرماه صورت بگیرد، آمادهنبودن زیرساخت تعدادی از بانکها برای عملیکردن آن، مانع شد و یک ماه به تعویق افتاد. این در حالی است که برخی بانکها سالها است امکان استفاده از رمز یکبار مصرف را دراختیار مشتریان خود قرار دادهاند.
بخشنامه اخیر بانک مرکزی یک الزام برای شبکه بانکی ایجاد کرده که هرچند هدف اصلی آن مقابله با کلاهبرداری اینترنتی است اما میتوان در کنار آن مباحثی چون مبارزه با پولشویی، احراز هویت صاحبان حساب و رصد تراکنشهای بانکی را نیز پیگیری کرد.محمدرضا جمشیدی، دبیرکل کانون بانکهای خصوصی و مؤسسههای اعتباری، با تأیید اینکه بسیاری از بانکها هنوز آمادگی اجرای این بخشنامه را در مدت کوتاه تعیینشده تا ابتدای خردادماه را ندارند، اظهار داشت: «در گذشته برخی بانکها رمزهای پویا را برای مشتریان خود اجرایی کردند هرچند الزامی در کار نبود و برای امنیت بیشتر به صاحبان کارت میگفتند که بهتر است از رمزهای دو یا چند عاملی استفاده کند.» وی افزود:
جمشیدی گفت: «از ابتدای آذرماه مسئولیت جبران خسارت ناشی از هک کارتهای بانکی توسط کلاهبرداران برعهده بانکها نهاده شده است درحالیکه بانکها درخواست دارند مهلت بیشتری به آنها داده شود.»
اما آیا اجباریشدن رمز پویا حقیقتا چالشبرانگیز و دشوار است؟
قطعا در ابتدای راه مشکلاتی وجود خواهد داشت. با اینکه مدت زمان زیادی تا اجباریشدن استفاده از رمز دوم پویا باقی نمانده است، با مراجعهی حضوری به برخی بانکها متوجه شدیم که حتی اکثر اپراتورهای شعب بانکها از سازوکار استفاده از رمزهای یکبار مصرف و نحوهی حلوفصل مشکلات مرتبط با آن آگاه نیستند. اما درنهایت، باید به تغییرات بین استفاده از دو نوع رمز با دقت بیشتری نگریست. کاربران اکثرا شکایت میکنند که تهیهی رمز پویا، زمان زیادی را از آنها هدر خواهد داد و درضمن هزینهای برای ارسالشدن پیامک به آنها تحمیل میشود یا اینکه پیچیدگی کار بهدلیل نیاز به نصب اپلیکیشنی جدید بیشتر میشود.
باید اشاره کنیم که خوشبختانه میتوان اپلیکیشن مربوط به تولید رمز پویا را بدون مشکل، پیش از خرید استفاده و برای آن مدت مشخصی تعیین کرد. این یک قدم اضافه اما آسان، با مزیتِ فراهمآوردن حداکثر میزان امنیت در استفاده از کارت بانکی محسوب میشود. برخی اوقات هکرها با استفاده از کیلاگر قادر هستند مشخصات نوشتهشده در درگاه پرداخت را ضبط و استفاده کنند. ازآنجاکه امکان ندارد رمز پویا دو مرتبه برای شخصی تکرار شود، هکر دراینزمینه شکست خواهد خورد و دسترسی به کارت برای او بسیار سخت یا غیرممکن میشود. بهعلاوه پس از ثبتنام در اپلیکیشن، نیازی به وصلبودن اینترنت برای دریافت رمز پویا نیست.
مسئلهی بعدی مربوط به هزینهی پیامک میشود که مهدی عبادی، دبیر انجمن فینتک ایران، دراینزمینه گفته است:
قرار نیست هزینهای از کاربران دریافت شود و در صورتی که روزی این برنامه وجود داشته باشد که هزینهای از مشتریان دریافت شود، مشتریان میتوانند این امکان را لغو کنند. در گذشته نیز زمانیکه هزینههای پیامک برداشت وجه از حساب برای مشتریان اعمال شد، امکان کنسل کردن این امکان به وجود آمد و من تصور میکنم که در این حوزه هم همین اتفاق خواهد افتاد. اما در حال حاضر همه این خدمات را رایگان دریافت میکنند و زمانیکه قرار شد هزینهای دریافت شود، کاربران این حق انتخاب را خواهند داشت.
با برداشتن قدمهای موفقتر در این حیطه، امید میرود که بانکها امکانهای راحتتری را برای تهیهی رمز یکبار مصرف دراختیار مشتریان خود قرار دهند.
باید توجه داشت که نمیتوان به استفاده از رمز دوم پویا، مخصوصا انواعی که ازطریق پیام کوتاه ارسال میشوند، بهعنوان ضامن قطعی تأمین امنیت کاربران نگاه کرد. بههمین دلیل است که بسیاری از بانکها مانند ING ارسال رمز یکبار مصرف ازطریق SMS را کاملا کنار گذاشتهاند. برای آشنایی با معایب رمزهای OTP میتوانید این مقاله را مطالعه کنید. البته نباید فراموش کرد که رمزهای پویا با تمام خطراتی که ممکن است داشته باشند، همچنان از رمزهای ثابت و ایستا بسیار امنتر هستند.
با گسترش روزافزون فروشگاههای اینترنتی و پرداختهای بیشمار از طریق وب، حملات فیشینگ رشد خطرناکی داشتهاند؛ بهگونهای که بانکها سخت به فکر چاره برای بهحداقلرساندن این سوءاستفادهها افتادند و درنهایت روشی را که در سطح دنیا بسیار مرسوم و شناختهشده است و با نامها و ایجاد فضاهای مختلفی کار میکند، به مرحلهی اجرا گذاشتهاند. هدف، ایجاد محیطی امن برای پرداختها است که لاجرم تغییراتی در شیوهی عملکردی معمول کشور ما ایجاد میکند. اگر فهرستی از مزایا و معایب این دو شیوهی پرداخت تهیه کنیم، قطعا کفهی ترازو به سمت مزایای روش جدید سنگینی میکند. اما اطلاعرسانی و همکاری بانکها برای عملیکردن هرچه سریعتر امر و همچنین همکاری بانک با مردم و سعی در رفع مشکلات موجود و احتمالی، ضمن رفع ابهامات، اهمیتی بسیار دارد که نباید از آنها غافل شد.
امنیت بیشتر یا دردسر مضاعف؟ نظر شما چیست؟ آیا تابهحال از رمز پویا استفاده کردهاید؟
منبع : زومیت