رمز دوم پويا؛ امنيت بيشتر يا دردسر مضاعف؟
رمز دوم پويا يا رمز يكبارمصرف قرار است تا كمتر از دو ماه ديگر جايگزين رمزهاي ثابت يا ايستا در تمامي خريدهاي اينترنتي شود. استفاده از اين نوع رمزها بهمنظور جلوگيري از انجام كلاهبرداريهاي اينترنتي از حساب شهروندان اما رمز پويا چيست و چگونه امنيت حساب مشتريان بانكي را تضمين ميكند؟ آيا راهكار جايگزين و كمدردسرتري براي تأمين امنيت متخصصان در خريد اينترنتي وجود ندارد؟ شهروندان ديگر كشورهاي جهان از چه روشهايي براي خريد اينترنتي استفاده ميكنند؟
اولين زمزمهها
چند روز پيش اعلام شد، استفاده از رمز دوم پويا از ابتداي دي ماه امسال اجباري ميشود. البته اين اولين باري نيست كه بانك مركزي از لاخبار تخصصي استفاده از رمزهاي يكبارمصرف در تراكنشهاي اينترنتي ميگويد. پيش از اين سرهنگ مصطفي نوروزي، رئيس مركز مبارزه با جرايم ملي و سازمانيافتهي پليس فتا در آذرماه ۹۷ اعلام كرده بود، با پيگيري پليس فتا ناجا و با همكاري بانك مركزي، تمامي بانكها و مؤسسات مالي از همان ماه ملزم به ارائهي سرويس رمز دوم يكبار مصرف شدهاند. همان زمان اعلام شد: «براساس دستور بانك مركزي، استفاده از رمزهاي دوم پويا براي تمامي دارندگان كارتهاي بانكي از ابتداي خرداد ماه سال ۱۳۹۸ ضروري است و رمز دوم ايستا، بهطور كامل حذف و با رمزهاي يكبارمصرف جايگزين خواهد شد.»
استفاده از رمز دوم پويا ابتدا قرار بود از خرداد امسال اجباري شود
كمتر از ۱۰ روز به موعد اجباريشدن استفاده از رمز دوم پويا باقي مانده بود كه معاون فناوريهاي نوين بانك مركزي اعلام كرد: «خريدهاي اينترنتي كمتر از ۵۰۰ هزار تومان نيازي به رمز پويا ندارد.» همان روز بانك مركزي بخشنامهاي منتشر كرد كه در آن ديگر خبري از «الزام و اجبار» استفاده از رمز دوم پويا و «حذف رمز ايستا» نبود. اگرچه در قسمتي از اين بخشنامه آمده بود: «از ابتداي خردادماه تأمين امنيت مشتريان نظام بانكي در تراكنشهاي بدون حضور كارت بر عهدهي بانكها بوده و هرگونه مسئوليت سوءاستفاده از حساب هاي مشتريان به دليل آسيبپذيريهاي امنيتي در سرويسهاي بانكي مستقيما به عهده بانك است»، در ادامه بهوضوح مشخص بود كه ظاهرا بانك مركزي از موضع پيشين خود كمي عقب نشسته است. درقسمتي از بخشنامهي مذكور آمده بود:
در صورتي كه بانك بتواند راهحل مطمئن ديگري را، كه با تأييد بانك مركزي متضمن تأييد هويت قوي مشتري پيش از برداشت از حساب مشتري باشد را اجرايي كند، ميتواند از اين راهكار بهعنوان جايگزين رمز پويا استفاده كند.
تنها چند روز پس از انتشار اين بخشنامه، مشخص شد كه اجراي طرح رمز دوم يكبار مصرف بهتعويق افتاده است و اعلام شد «اشكالات پيش آمده براي نصب اپليكيشنهاي ايراني روي موبايلهاي اپل» و «نادرست بودن شماره تلفن همراه ۷۰ درصد مشتريان نظام بانكي» ازجمله دلايل بهتعويقافتادن اين طرح است.
بانك مركزي ابتداي شهريورماه امسال دوباره از لاخبار تخصصي استفاده از رمزهاي پويا در تراكنشهاي مبتني بر كارتهاي بانكي به شبكه بانكي كشور خبر داد. اين بار قرار است از اول ديماه ۹۸ استفاده از رمز دوم پويا اجباري شده و رمزهاي ايستا كنار گذاشته شود.
رمز پويا چيست؟
رمز يكبار مصرف، رمز پويا يا OTP (مخفف One-Time Password) رمزي است كه گيلبرت ورنام، مهندس آزمايشگاههاي بل در سال ۱۹۱۹ ابداع كرد و تنها براي يك ورود يا انجام تراكنش اعتبار دارد. اين رمز نهايتا ۶۰ ثانيه معتبر است و پذيرش آن توسط بانك در يك بازهي زماني مشخص، تنها يكبار صورت ميپذيرد. اشكال رمز ايستا آنجا بغرنج ميشود كه اكنون مشاهده ميكنيم، افراد براي كارتهاي متعدد خود از يك رمز ثابت استفاده ميكنند.
فيشينگ عامل شكلگيري يكسوم جرايم سايبري در كشور است
رمز پويا درواقع نوعي «احراز هويت چند عاملي» (MFA) است كه بسياري از ما تجربهي كاركردن با آن را هنگام استفاده از سرويسهاي رايانامه و پيامرسانها داريم. بهكارگيري اين رمز بسياري از معايب رمز ايستا را رفع ميكند. بنا به ادعاي مايكروسافت، استفاده از احراز هويت چندعاملي متخصصان را دربرابر ۹۹/۹ حملات مصون ميكند. گوگل نيز ادعا ميكند با استفاده از تأييد چندمرحلهاي، ميتوان جلوي ۹۹ درصد حملات فيشينگ را گرفت. بهگفتهي سردار سيد كمال هاديان فر، رئيس پليس توليد و تبادل اطلاعات ناجا (فتا)، برداشتهاي غيرمجاز از حساب بانكي افراد در سال ۹۶ نسبت به سال ۹۵ بيش از ۶۱ درصد افزايش داشته و فيشينگ عامل شكلگيري يكسوم جرائم سايبري در كشور است.
اكنون بانك مركزي، با مقرركردن بازههاي زماني مشخص براي عمليكردن اين طرح جدي، بانكها را پس از بازههاي زماني يادشده مسئول هرگونه خسارت واردآمده به مشتريان ازطريق فيشينگ اعلام كرده است.
رمز پويا چگونه ايجاد ميشود و چگونه كار ميكند؟
در حال حاضر بانكها اپليكيشنهاي ويژهاي را در وبسايت خود معرفي كردهاند. براي فعالكردن رمز پويا نياز است كه افراد به وبسايت كارت بانكي خود مراجعه كرده و نسبت به فعالسازي آن اقدام كنند. پس از آن لازم است، هر بار هنگام خريد يا انتقال وجه الكترونيك، متخصص همزمان اپليكيشن مذكور را باز كرده و مدت زمان معيني تا نهايت ۶۰ ثانيه براي آن مشخص ميكند و سپس تراكنش موردانديشه متخصصين خود را انجام دهد. به اين صورت ميتوان اطمينان حاصل كرد كه امكان هيچگونه سوءاستفاده از كارت شخص وجود نخواهد داشت. اپليكيشن بانكها اين رمز را با استفاده از الگوريتم پيچيدهاي توليد ميكند كه دسترسي به آن براي هكرها بسيار پيچيده يا حتي غيرممكن است. بهعلاوه بانكها ميتوانند ازطريق پيامك نيز براي ارسال رمز اقدام كنند. اميد است در آينده امكان ارسال كد يك بار مصرف ازطريق USSD (ارسال پيام از طريق كد دستوري) نيز در تمام بانكها فراهم شده تا جمع روشهاي كسب رمز يكبار مصرف موجب شود تا تمام متخصصان حتي كساني كه موبايل غيرهوشمندي استفاده ميكنند يا دركل موبايل در اختيار يا در دسترس ندارند، از خدمات غيرحضوري بهره ببرند. علاوهبر اين، ميتوان روشهايي مانند استفاده از اپليكيشن تأييد هويت براي تمامي بانكها را به كار گرفت تا تمام كارها در يك اپليكيشن انجام شود. اما مشخص است كه هنوز تا آن زمان فاصله داريم.
الگوريتمهاي توليد رمز OTP بهطور معمول از اعداد تصادفي، شبهتصادفي يا توابع درهمساز استفاده ميكنند تا كار حدس رمز را براي هكر دشوار كنند. انجام چنين كاري بسيار حائز اهميت است چرا كه در غير اين صورت، پيشبيني رمزهاي يكبار مصرف در آينده با مشاهدهي رمزهاي قبلي سادهتر ميگردد. رمزهاي يكبار مصرف در سرتاسر دنيا به روشهاي مختلفي اعم از تلفن، پيامك، توكن اختصاصي و كپي OTP به متخصص ارائه ميشوند كه روش چاپ آن ارزانترين و پيامكي، گرانترين محسوب ميشود. ميتوانيد از طريق اين لينك دربارهي نحوهي ساخت رمزهاي يكبار مصرف بيشتر بخوانيد.
نمونههاي مشابه در ديگر كشورها
درحاليكه بيشتر بانكهاي جهان سرويس رمز دوم پويا ارائه ميدهند، استفاده از اين سرويس در برخي از آنها اجباري نيست
تأييد پرداخت و استفاده از رمزهاي يكبار مصرف از روشهاي مرسوم بانكها در اغلب كشورهاي جهان است. بدين معني كه مشتريان بانكها براي خريدهاي اينترنتي و واريز وجه بيشتر مواقع ملزم به دريافت رمز يكبار مصرف بهمدت زمان محدود و ازطريق پيامك يا برنامههاي نرمافزاري هستند. بيشتر بانكهاي بزرگ و معتبر جهان مانند بنك آو امريكا خدمات ارسال رمز دوم پويا را ازطريق پيامك به مشتريان خود ارائه ميدهند. البته سياست اجبار به استفاده از اين روشها هنگام خريد الكترونيك در بين بانكها متفاوت است. براي مثال بنك آو امريكا استفاده از رمز يكبار مصرف (كه آن را SafePass مينامد) را از سال ۲۰۱۸ از حالت اجباري خارج كرده است.
مزايا و معايب
پس از اعلام خبر الزاميشدن رمز پويا از سوي بانك مركزي، بسياري از هموطنان نسبت به آن واكنش نشان دادند و از اشكالات طرح پيش رو گفتند (براي آشنايي با نمونه دغدغههاي متخصصان شبكه بانكي كشور، ميتوانيد هم انديشي ها زير خبر اجباري شدن استفاده از رمز دوم پويا را در اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران مشاهده كنيد). با اينكه قرار بوده فاز اول اجراييشدن اين بخشنامه آذرماه صورت بگيرد، آمادهنبودن زيرساخت تعدادي از بانكها براي عمليكردن آن، مانع شد و يك ماه به تعويق افتاد. اين در حالي است كه برخي بانكها سالها است امكان استفاده از رمز يكبار مصرف را دراختيار مشتريان خود قرار دادهاند.
محمدرضا جمشيدي، دبيركل كانون بانكهاي خصوصي و مؤسسههاي اعتباري، با تأييد اينكه بسياري از بانكها هنوز آمادگي اجراي اين بخشنامه را در مدت كوتاه تعيينشده تا ابتداي خردادماه را ندارند، اظهار داشت: «در گذشته برخي بانكها رمزهاي پويا را براي مشتريان خود اجرايي كردند هرچند الزامي در كار نبود و براي امنيت بيشتر به صاحبان كارت ميگفتند كه بهتر است از رمزهاي دو يا چند عاملي استفاده كند.» وي افزود:
بخشنامه اخير بانك مركزي يك الزام براي شبكه بانكي ايجاد كرده كه هرچند هدف اصلي آن مقابله با كلاهبرداري اينترنتي است اما ميتوان در كنار آن مباحثي چون مبارزه با پولشويي، احراز هويت صاحبان حساب و رصد تراكنشهاي بانكي را نيز پيگيري كرد.
جمشيدي گفت: «از ابتداي آذرماه مسئوليت جبران خسارت ناشي از هك كارتهاي بانكي توسط كلاهبرداران برعهده بانكها نهاده شده است درحاليكه بانكها درخواست دارند مهلت بيشتري به آنها داده شود.»
اما آيا اجباريشدن رمز پويا حقيقتا چالشبرانگيز و دشوار است؟
قطعا در ابتداي راه اشكالاتي وجود خواهد داشت. با اينكه مدت زمان زيادي تا اجباريشدن استفاده از رمز دوم پويا باقي نمانده است، با مراجعهي حضوري به برخي بانكها متوجه شديم كه حتي اكثر اپراتورهاي شعب بانكها از سازوكار استفاده از رمزهاي يكبار مصرف و نحوهي حلوفصل اشكالات مرتبط با آن آگاه نيستند. اما درنهايت، بايد به تغييرات بين استفاده از دو نوع رمز با دقت بيشتري نگريست. متخصصان اكثرا شكايت ميكنند كه تهيهي رمز پويا، زمان زيادي را از آنها هدر خواهد داد و درضمن هزينهاي براي ارسالشدن پيامك به آنها تحميل ميشود يا اينكه پيچيدگي كار بهدليل نياز به نصب اپليكيشني جديد بيشتر ميشود.
بايد اشاره كنيم كه خوشبختانه ميتوان اپليكيشن مربوط به توليد رمز پويا را بدون اشكال، پيش از خريد استفاده و براي آن مدت مشخصي تعيين كرد. اين يك قدم اضافه اما آسان، با مزيتِ فراهمآوردن حداكثر ميزان امنيت در استفاده از كارت بانكي محسوب ميشود. برخي اوقات هكرها با استفاده از كيلاگر قادر هستند مشخصات نوشتهشده در درگاه پرداخت را ضبط و استفاده كنند. ازآنجاكه امكان ندارد رمز پويا دو مرتبه براي شخصي تكرار شود، هكر دراينزمينه شكست خواهد خورد و دسترسي به كارت براي او بسيار سخت يا غيرممكن ميشود. بهعلاوه پس از ثبتنام در اپليكيشن، نيازي به وصلبودن اينترنت براي دريافت رمز پويا نيست.
مسئلهي بعدي مربوط به هزينهي پيامك ميشود كه مهدي عبادي، دبير انجمن فينتك ايران، دراينزمينه گفته است:
قرار نيست هزينهاي از متخصصان دريافت شود و در صورتي كه روزي اين برنامه وجود داشته باشد كه هزينهاي از مشتريان دريافت شود، مشتريان ميتوانند اين امكان را لغو كنند. در گذشته نيز زمانيكه هزينههاي پيامك برداشت وجه از حساب براي مشتريان اعمال شد، امكان كنسل كردن اين امكان به وجود آمد و من تصور ميكنم كه در اين حوزه هم همين اتفاق خواهد افتاد. اما در حال حاضر همه اين خدمات را رايگان دريافت ميكنند و زمانيكه قرار شد هزينهاي دريافت شود، متخصصان اين حق انتخاب را خواهند داشت.
رمز يكبار مصرف با تمام معايب و خطرات احتمالي، از رمز ثابت بسيار امنتر است
با برداشتن قدمهاي موفقتر در اين حيطه، اميد ميرود كه بانكها امكانهاي راحتتري را براي تهيهي رمز يكبار مصرف دراختيار مشتريان خود قرار دهند.
بايد توجه داشت كه نميتوان به استفاده از رمز دوم پويا، مخصوصا انواعي كه ازطريق پيام كوتاه ارسال ميشوند، بهعنوان ضامن قطعي تأمين امنيت متخصصان نگاه كرد. بههمين دليل است كه بسياري از بانكها مانند ING ارسال رمز يكبار مصرف ازطريق SMS را كاملا كنار گذاشتهاند. براي آشنايي با معايب رمزهاي OTP ميتوانيد اين مقاله را مطالعه كنيد. البته نبايد فراموش كرد كه رمزهاي پويا با تمام خطراتي كه ممكن است داشته باشند، همچنان از رمزهاي ثابت و ايستا بسيار امنتر هستند.
جمعبندي
با گسترش روزافزون فروشگاههاي اينترنتي و پرداختهاي بيشمار از طريق وب، حملات فيشينگ رشد خطرناكي داشتهاند؛ بهگونهاي كه بانكها سخت به فكر چاره براي بهحداقلرساندن اين سوءاستفادهها افتادند و درنهايت روشي را كه در سطح دنيا بسيار مرسوم و شناختهشده است و با نامها و ايجاد فضاهاي مختلفي كار ميكند، به مرحلهي اجرا گذاشتهاند. هدف، ايجاد محيطي امن براي پرداختها است كه لاجرم تغييراتي در شيوهي عملكردي معمول كشور ما ايجاد ميكند. اگر فهرستي از مزايا و معايب اين دو شيوهي پرداخت تهيه كنيم، قطعا كفهي ترازو به سمت مزاياي روش جديد سنگيني ميكند. اما اطلاعرساني و همكاري بانكها براي عمليكردن هرچه سريعتر امر و همچنين همكاري بانك با مردم و سعي در رفع اشكالات موجود و احتمالي، ضمن رفع ابهامات، اهميتي بسيار دارد كه نبايد از آنها غافل شد.
امنيت بيشتر يا دردسر مضاعف؟ انديشه متخصصين شما چيست؟ آيا تابهحال از رمز پويا استفاده كردهايد؟
هم انديشي ها