رمز دوم پويا؛ امنيت بيشتر يا دردسر مضاعف؟

چند روز پيش اعلام شد، استفاده از رمز دوم پويا از ابتداي دي ماه امسال اجباري مي‌شود. البته اين اولين باري نيست كه بانك مركزي از لاخبار تخصصي استفاده از رمزهاي يك‌بارمصرف در تراكنش‌هاي اينترنتي مي‌گويد. پيش از اين سرهنگ مصطفي نوروزي، رئيس مركز مبارزه با جرايم ملي و سازمان‌يافته‌ي پليس فتا در آذرماه ۹۷ اعلام كرده بود، با پيگيري پليس فتا ناجا و با همكاري بانك مركزي، تمامي بانك‌ها و مؤسسات مالي از همان ماه ملزم به ارائه‌ي سرويس رمز دوم يك‌بار مصرف شده‌اند. همان زمان اعلام شد: «براساس دستور بانك مركزي، استفاده از رمزهاي دوم پويا براي تمامي دارندگان كارت‌هاي بانكي از ابتداي خرداد ماه سال ۱۳۹۸ ضروري است و رمز دوم ايستا، به‌طور كامل حذف و با رمزهاي يك‌بارمصرف جايگزين خواهد شد.»

در صورتي كه بانك بتواند راه‌حل مطمئن ديگري را، كه با تأييد بانك مركزي متضمن تأييد هويت قوي مشتري پيش از برداشت از حساب مشتري باشد را اجرايي كند، مي‌تواند از اين راهكار به‌عنوان جايگزين رمز پويا استفاده كند.

تنها چند روز پس از انتشار اين بخشنامه، مشخص شد كه اجراي طرح رمز دوم يك‌بار مصرف به‌تعويق افتاده است و اعلام شد «اشكالات پيش آمده براي نصب اپليكيشن‌هاي ايراني روي موبايل‌هاي اپل» و «نادرست بودن شماره تلفن همراه ۷۰ درصد مشتريان نظام بانكي» ازجمله دلايل به‌تعويق‌افتادن اين طرح است.

بانك مركزي ابتداي شهريورماه امسال دوباره از لاخبار تخصصي استفاده از رمزهاي پويا در تراكنش‌هاي مبتني بر كارت‌هاي بانكي به شبكه بانكي كشور خبر داد. اين بار قرار است از اول دي‌ماه ۹۸ استفاده از رمز دوم پويا اجباري شده و رمزهاي ايستا كنار گذاشته شود.

رمز يك‌بار مصرف، رمز پويا يا OTP (مخفف One-Time Password) رمزي است كه گيلبرت ورنام، مهندس آزمايشگاه‌هاي بل در سال ۱۹۱۹ ابداع كرد و تنها براي يك ورود يا انجام تراكنش اعتبار دارد. اين رمز نهايتا ۶۰ ثانيه معتبر است و پذيرش آن توسط بانك در يك بازه‌ي زماني مشخص، تنها يك‌بار صورت مي‌پذيرد. اشكال رمز ايستا آنجا بغرنج مي‌شود كه اكنون مشاهده مي‌كنيم، افراد براي كارت‌هاي متعدد خود از يك رمز ثابت استفاده مي‌كنند.

اكنون بانك مركزي، با مقرركردن بازه‌هاي زماني مشخص براي عملي‌كردن اين طرح جدي، بانك‌ها را پس از بازه‌هاي زماني يادشده مسئول هرگونه خسارت واردآمده به مشتريان ازطريق فيشينگ اعلام كرده است.

در حال حاضر بانك‌ها اپليكيشن‌هاي ويژه‌اي را در وب‌سايت خود معرفي كرده‌اند. براي فعال‌كردن رمز پويا نياز است كه افراد به وب‌سايت كارت بانكي خود مراجعه كرده و نسبت به فعالسازي آن اقدام كنند. پس از آن لازم است، هر بار هنگام خريد يا انتقال وجه الكترونيك، متخصص هم‌زمان اپليكيشن مذكور را باز كرده و مدت زمان معيني تا نهايت ۶۰ ثانيه براي آن مشخص مي‌كند و سپس تراكنش موردانديشه متخصصين خود را انجام دهد. به اين صورت مي‌توان اطمينان حاصل كرد كه امكان هيچ‌گونه سوءاستفاده از كارت شخص وجود نخواهد داشت. اپليكيشن بانك‌ها اين رمز را با استفاده از الگوريتم پيچيده‌اي توليد مي‌كند كه دسترسي به آن براي هكر‌ها بسيار پيچيده يا حتي غيرممكن است. به‌علاوه بانك‌ها مي‌توانند ازطريق پيامك نيز براي ارسال رمز اقدام كنند. اميد است در آينده امكان ارسال كد يك بار مصرف ازطريق USSD (ارسال پيام از طريق كد دستوري) نيز در تمام بانك‌ها فراهم شده تا جمع روش‌هاي كسب رمز يك‌بار مصرف موجب شود تا تمام متخصصان حتي كساني كه موبايل غيرهوشمندي استفاده مي‌كنند يا دركل موبايل در اختيار يا در دسترس ندارند، از خدمات غيرحضوري بهره ببرند. علاوه‌بر اين، مي‌توان روش‌هايي مانند استفاده از اپليكيشن تأييد هويت براي تمامي بانك‌ها را به كار گرفت تا تمام كارها در يك اپليكيشن انجام شود. اما مشخص است كه هنوز تا آن زمان فاصله داريم.

الگوريتم‌هاي توليد رمز OTP به‌طور معمول از اعداد تصادفي، شبه‌تصادفي يا توابع درهم‌ساز استفاده مي‌كنند تا كار حدس رمز را براي هكر دشوار كنند. انجام چنين كاري بسيار حائز اهميت است چرا كه در غير اين صورت، پيش‌بيني رمزهاي يك‌بار مصرف در آينده با مشاهده‌ي رمزهاي قبلي ساده‌تر مي‌گردد. رمزهاي يك‌بار مصرف در سرتاسر دنيا به روش‌هاي مختلفي اعم از تلفن، پيامك، توكن اختصاصي و كپي OTP به متخصص ارائه مي‌شوند كه روش چاپ آن ارزان‌ترين و پيامكي، گران‌ترين محسوب مي‌شود. مي‌توانيد از طريق اين لينك درباره‌ي نحوه‌ي ساخت رمزهاي يك‌بار مصرف بيشتر بخوانيد.

پس از اعلام خبر الزامي‌شدن رمز پويا از سوي بانك مركزي، بسياري از هموطنان نسبت به آن واكنش نشان دادند و از اشكالات طرح پيش رو گفتند (براي آشنايي با نمونه دغدغه‌هاي متخصصان شبكه بانكي كشور، مي‌توانيد هم انديشي ها زير خبر اجباري شدن استفاده از رمز دوم پويا را در اخبار تخصصي، علمي، تكنولوژيكي، فناوري مرجع متخصصين ايران مشاهده كنيد). با اينكه قرار بوده فاز اول اجرايي‌شدن اين بخشنامه آذرماه صورت بگيرد، آماده‌نبودن زيرساخت تعدادي از بانك‌ها براي عملي‌كردن آن، مانع شد و يك ماه به تعويق افتاد. اين در حالي است كه برخي بانك‌ها سال‌ها است امكان استفاده از رمز يك‌بار مصرف را دراختيار مشتريان خود قرار داده‌اند.

بخشنامه اخير بانك مركزي يك الزام براي شبكه بانكي ايجاد كرده كه هرچند هدف اصلي آن مقابله با كلاهبرداري اينترنتي است اما مي‌توان در كنار آن مباحثي چون مبارزه با پولشويي، احراز هويت صاحبان حساب و رصد تراكنش‌هاي بانكي را نيز پيگيري كرد.

جمشيدي گفت: «از ابتداي آذرماه مسئوليت جبران خسارت ناشي از هك كارت‌هاي بانكي توسط كلاهبرداران برعهده بانك‌ها نهاده شده است درحالي‌كه بانك‌ها درخواست دارند مهلت بيشتري به آن‌ها داده شود.»

اما آيا اجباري‌شدن رمز پويا حقيقتا چالش‌برانگيز و دشوار است؟

قطعا در ابتداي راه اشكالاتي وجود خواهد داشت. با اينكه مدت زمان زيادي تا اجباري‌شدن استفاده از رمز دوم پويا باقي نمانده است، با مراجعه‌ي حضوري به برخي بانك‌ها متوجه شديم كه حتي اكثر اپراتورهاي شعب بانك‌ها از سازوكار استفاده از رمزهاي يك‌بار مصرف و نحوه‌ي حل‌وفصل اشكالات مرتبط با آن آگاه نيستند. اما درنهايت، بايد به تغييرات بين استفاده از دو نوع رمز با دقت بيشتري نگريست. متخصصان اكثرا شكايت مي‌كنند كه تهيه‌ي رمز پويا، زمان زيادي را از آن‌ها هدر خواهد داد و درضمن هزينه‌اي براي ارسال‌شدن پيامك به آن‌ها تحميل مي‌شود يا اينكه پيچيدگي كار به‌دليل نياز به نصب اپليكيشني جديد بيشتر مي‌شود.

بايد اشاره كنيم كه خوشبختانه مي‌توان اپليكيشن مربوط به توليد رمز پويا را بدون اشكال، پيش از خريد استفاده و براي آن مدت مشخصي تعيين كرد. اين يك قدم اضافه اما آسان، با مزيتِ فراهم‌آوردن حداكثر ميزان امنيت در استفاده از كارت بانكي محسوب مي‌شود. برخي اوقات هكرها با استفاده از كي‌لاگر قادر هستند مشخصات نوشته‌شده در درگاه پرداخت را ضبط و استفاده كنند. ازآنجاكه امكان ندارد رمز پويا دو مرتبه براي شخصي تكرار شود، هكر دراين‌زمينه شكست خواهد خورد و دسترسي به كارت براي او بسيار سخت يا غيرممكن مي‌شود. به‌علاوه پس از ثبت‌نام در اپليكيشن، نيازي به وصل‌بودن اينترنت براي دريافت رمز پويا نيست.

مسئله‌ي بعدي مربوط به هزينه‌ي پيامك مي‌شود كه مهدي عبادي، دبير انجمن فين‌تك ايران، دراين‌زمينه گفته است:

قرار نيست هزينه‌اي از متخصصان دريافت شود و در صورتي كه روزي اين برنامه وجود داشته باشد كه هزينه‌اي از مشتريان دريافت شود، مشتريان مي‌توانند اين امكان را لغو كنند. در گذشته نيز زماني‌كه هزينه‌هاي پيامك برداشت وجه از حساب براي مشتريان اعمال شد، امكان كنسل كردن اين امكان به وجود آمد و من تصور مي‌كنم كه در اين حوزه هم همين اتفاق خواهد افتاد. اما در حال حاضر همه اين خدمات را رايگان دريافت مي‌كنند و زماني‌كه قرار شد هزينه‌اي دريافت شود، متخصصان اين حق انتخاب را خواهند داشت.

بايد توجه داشت كه نمي‌توان به استفاده از رمز دوم پويا، مخصوصا انواعي كه ازطريق پيام كوتاه ارسال مي‌شوند، به‌عنوان ضامن قطعي تأمين امنيت متخصصان نگاه كرد. به‌همين دليل است كه بسياري از بانك‌ها مانند ING ارسال رمز يك‌بار مصرف ازطريق SMS را كاملا كنار گذاشته‌اند. براي آشنايي با معايب رمزهاي OTP مي‌توانيد اين مقاله را مطالعه كنيد. البته نبايد فراموش كرد كه رمزهاي پويا با تمام خطراتي كه ممكن است داشته باشند، همچنان از رمزهاي ثابت و ايستا بسيار امن‌تر هستند.

با گسترش روزافزون فروشگاه‌هاي اينترنتي و پرداخت‌هاي بي‌شمار از طريق وب، حملات فيشينگ رشد خطرناكي داشته‌اند؛ به‌گونه‌اي كه بانك‌ها سخت به فكر چاره براي به‌حداقل‌رساندن اين سوءاستفاده‌ها افتادند و درنهايت روشي را كه در سطح دنيا بسيار مرسوم و شناخته‌شده است و با نام‌ها و ايجاد فضاهاي مختلفي كار مي‌كند، به مرحله‌ي اجرا گذاشته‌اند. هدف، ايجاد محيطي امن براي پرداخت‌ها است كه لاجرم تغييراتي در شيوه‌ي عملكردي معمول كشور ما ايجاد مي‌كند. اگر فهرستي از مزايا و معايب اين دو شيوه‌ي پرداخت تهيه كنيم، قطعا كفه‌ي ترازو به سمت مزاياي روش جديد سنگيني مي‌كند. اما اطلاع‌رساني و همكاري بانك‌ها براي عملي‌كردن هرچه سريع‌تر امر و همچنين همكاري بانك با مردم و سعي در رفع اشكالات موجود و احتمالي، ضمن رفع ابهامات، اهميتي بسيار دارد كه نبايد از آن‌ها غافل شد.

امنيت بيشتر يا دردسر مضاعف؟ انديشه متخصصين شما چيست؟ آيا تابه‌حال از رمز پويا استفاده كرده‌ايد؟