رمز دوم پویا؛ امنیت بیشتر یا دردسر مضاعف؟

چند روز پیش اعلام شد، استفاده از رمز دوم پویا از ابتدای دی ماه امسال اجباری می‌شود. البته این اولین باری نیست که بانک مرکزی از لزوم استفاده از رمزهای یک‌بارمصرف در تراکنش‌های اینترنتی می‌گوید. پیش از این سرهنگ مصطفی نوروزی، رئیس مرکز مبارزه با جرایم ملی و سازمان‌یافته‌ی پلیس فتا در آذرماه ۹۷ اعلام کرده بود، با پیگیری پلیس فتا ناجا و با همکاری بانک مرکزی، تمامی بانک‌ها و مؤسسات مالی از همان ماه ملزم به ارائه‌ی سرویس رمز دوم یک‌بار مصرف شده‌اند. همان زمان اعلام شد: «براساس دستور بانک مرکزی، استفاده از رمزهای دوم پویا برای تمامی دارندگان کارت‌های بانکی از ابتدای خرداد ماه سال ۱۳۹۸ ضروری است و رمز دوم ایستا، به‌طور کامل حذف و با رمزهای یک‌بارمصرف جایگزین خواهد شد.»

در صورتی که بانک بتواند راه‌حل مطمئن دیگری را، که با تأیید بانک مرکزی متضمن تأیید هویت قوی مشتری پیش از برداشت از حساب مشتری باشد را اجرایی کند، می‌تواند از این راهکار به‌عنوان جایگزین رمز پویا استفاده کند.

تنها چند روز پس از انتشار این بخشنامه، مشخص شد که اجرای طرح رمز دوم یک‌بار مصرف به‌تعویق افتاده است و اعلام شد «مشکلات پیش آمده برای نصب اپلیکیشن‌های ایرانی روی گوشی‌های اپل» و «نادرست بودن شماره تلفن همراه ۷۰ درصد مشتریان نظام بانکی» ازجمله دلایل به‌تعویق‌افتادن این طرح است.

بانک مرکزی ابتدای شهریورماه امسال دوباره از لزوم استفاده از رمزهای پویا در تراکنش‌های مبتنی بر کارت‌های بانکی به شبکه بانکی کشور خبر داد. این بار قرار است از اول دی‌ماه ۹۸ استفاده از رمز دوم پویا اجباری شده و رمزهای ایستا کنار گذاشته شود.

رمز یک‌بار مصرف، رمز پویا یا OTP (مخفف One-Time Password) رمزی است که گیلبرت ورنام، مهندس آزمایشگاه‌های بل در سال ۱۹۱۹ ابداع کرد و تنها برای یک ورود یا انجام تراکنش اعتبار دارد. این رمز نهایتا ۶۰ ثانیه معتبر است و پذیرش آن توسط بانک در یک بازه‌ی زمانی مشخص، تنها یک‌بار صورت می‌پذیرد. مشکل رمز ایستا آنجا بغرنج می‌شود که اکنون مشاهده می‌کنیم، افراد برای کارت‌های متعدد خود از یک رمز ثابت استفاده می‌کنند.

اکنون بانک مرکزی، با مقررکردن بازه‌های زمانی مشخص برای عملی‌کردن این طرح جدی، بانک‌ها را پس از بازه‌های زمانی یادشده مسئول هرگونه خسارت واردآمده به مشتریان ازطریق فیشینگ اعلام کرده است.

در حال حاضر بانک‌ها اپلیکیشن‌های ویژه‌ای را در وب‌سایت خود معرفی کرده‌اند. برای فعال‌کردن رمز پویا نیاز است که افراد به وب‌سایت کارت بانکی خود مراجعه کرده و نسبت به فعالسازی آن اقدام کنند. پس از آن لازم است، هر بار هنگام خرید یا انتقال وجه آنلاین، کاربر هم‌زمان اپلیکیشن مذکور را باز کرده و مدت زمان معینی تا نهایت ۶۰ ثانیه برای آن مشخص می‌کند و سپس تراکنش موردنظر خود را انجام دهد. به این صورت می‌توان اطمینان حاصل کرد که امکان هیچ‌گونه سوءاستفاده از کارت شخص وجود نخواهد داشت. اپلیکیشن بانک‌ها این رمز را با استفاده از الگوریتم پیچیده‌ای تولید می‌کند که دسترسی به آن برای هکر‌ها بسیار پیچیده یا حتی غیرممکن است. به‌علاوه بانک‌ها می‌توانند ازطریق پیامک نیز برای ارسال رمز اقدام کنند. امید است در آینده امکان ارسال کد یک بار مصرف ازطریق USSD (ارسال پیام از طریق کد دستوری) نیز در تمام بانک‌ها فراهم شده تا جمع روش‌های کسب رمز یک‌بار مصرف موجب شود تا تمام کاربران حتی کسانی که گوشی غیرهوشمندی استفاده می‌کنند یا درکل گوشی در اختیار یا در دسترس ندارند، از خدمات غیرحضوری بهره ببرند. علاوه‌بر این، می‌توان روش‌هایی مانند استفاده از اپلیکیشن تأیید هویت برای تمامی بانک‌ها را به کار گرفت تا تمام کارها در یک اپلیکیشن انجام شود. اما مشخص است که هنوز تا آن زمان فاصله داریم.

الگوریتم‌های تولید رمز OTP به‌طور معمول از اعداد تصادفی، شبه‌تصادفی یا توابع درهم‌ساز استفاده می‌کنند تا کار حدس رمز را برای هکر دشوار کنند. انجام چنین کاری بسیار حائز اهمیت است چرا که در غیر این صورت، پیش‌بینی رمزهای یک‌بار مصرف در آینده با مشاهده‌ی رمزهای قبلی ساده‌تر می‌گردد. رمزهای یک‌بار مصرف در سرتاسر دنیا به روش‌های مختلفی اعم از تلفن، پیامک، توکن اختصاصی و کپی OTP به کاربر ارائه می‌شوند که روش چاپ آن ارزان‌ترین و پیامکی، گران‌ترین محسوب می‌شود. می‌توانید از طریق این لینک درباره‌ی نحوه‌ی ساخت رمزهای یک‌بار مصرف بیشتر بخوانید.

پس از اعلام خبر الزامی‌شدن رمز پویا از سوی بانک مرکزی، بسیاری از هموطنان نسبت به آن واکنش نشان دادند و از مشکلات طرح پیش رو گفتند (برای آشنایی با نمونه دغدغه‌های کاربران شبکه بانکی کشور، می‌توانید نظرات زیر خبر اجباری شدن استفاده از رمز دوم پویا را در زومیت مشاهده کنید). با اینکه قرار بوده فاز اول اجرایی‌شدن این بخشنامه آذرماه صورت بگیرد، آماده‌نبودن زیرساخت تعدادی از بانک‌ها برای عملی‌کردن آن، مانع شد و یک ماه به تعویق افتاد. این در حالی است که برخی بانک‌ها سال‌ها است امکان استفاده از رمز یک‌بار مصرف را دراختیار مشتریان خود قرار داده‌اند.

بخشنامه اخیر بانک مرکزی یک الزام برای شبکه بانکی ایجاد کرده که هرچند هدف اصلی آن مقابله با کلاهبرداری اینترنتی است اما می‌توان در کنار آن مباحثی چون مبارزه با پولشویی، احراز هویت صاحبان حساب و رصد تراکنش‌های بانکی را نیز پیگیری کرد.

جمشیدی گفت: «از ابتدای آذرماه مسئولیت جبران خسارت ناشی از هک کارت‌های بانکی توسط کلاهبرداران برعهده بانک‌ها نهاده شده است درحالی‌که بانک‌ها درخواست دارند مهلت بیشتری به آن‌ها داده شود.»

اما آیا اجباری‌شدن رمز پویا حقیقتا چالش‌برانگیز و دشوار است؟

قطعا در ابتدای راه مشکلاتی وجود خواهد داشت. با اینکه مدت زمان زیادی تا اجباری‌شدن استفاده از رمز دوم پویا باقی نمانده است، با مراجعه‌ی حضوری به برخی بانک‌ها متوجه شدیم که حتی اکثر اپراتورهای شعب بانک‌ها از سازوکار استفاده از رمزهای یک‌بار مصرف و نحوه‌ی حل‌وفصل مشکلات مرتبط با آن آگاه نیستند. اما درنهایت، باید به تغییرات بین استفاده از دو نوع رمز با دقت بیشتری نگریست. کاربران اکثرا شکایت می‌کنند که تهیه‌ی رمز پویا، زمان زیادی را از آن‌ها هدر خواهد داد و درضمن هزینه‌ای برای ارسال‌شدن پیامک به آن‌ها تحمیل می‌شود یا اینکه پیچیدگی کار به‌دلیل نیاز به نصب اپلیکیشنی جدید بیشتر می‌شود.

باید اشاره کنیم که خوشبختانه می‌توان اپلیکیشن مربوط به تولید رمز پویا را بدون مشکل، پیش از خرید استفاده و برای آن مدت مشخصی تعیین کرد. این یک قدم اضافه اما آسان، با مزیتِ فراهم‌آوردن حداکثر میزان امنیت در استفاده از کارت بانکی محسوب می‌شود. برخی اوقات هکرها با استفاده از کی‌لاگر قادر هستند مشخصات نوشته‌شده در درگاه پرداخت را ضبط و استفاده کنند. ازآنجاکه امکان ندارد رمز پویا دو مرتبه برای شخصی تکرار شود، هکر دراین‌زمینه شکست خواهد خورد و دسترسی به کارت برای او بسیار سخت یا غیرممکن می‌شود. به‌علاوه پس از ثبت‌نام در اپلیکیشن، نیازی به وصل‌بودن اینترنت برای دریافت رمز پویا نیست.

مسئله‌ی بعدی مربوط به هزینه‌ی پیامک می‌شود که مهدی عبادی، دبیر انجمن فین‌تک ایران، دراین‌زمینه گفته است:

قرار نیست هزینه‌ای از کاربران دریافت شود و در صورتی که روزی این برنامه وجود داشته باشد که هزینه‌ای از مشتریان دریافت شود، مشتریان می‌توانند این امکان را لغو کنند. در گذشته نیز زمانی‌که هزینه‌های پیامک برداشت وجه از حساب برای مشتریان اعمال شد، امکان کنسل کردن این امکان به وجود آمد و من تصور می‌کنم که در این حوزه هم همین اتفاق خواهد افتاد. اما در حال حاضر همه این خدمات را رایگان دریافت می‌کنند و زمانی‌که قرار شد هزینه‌ای دریافت شود، کاربران این حق انتخاب را خواهند داشت.

باید توجه داشت که نمی‌توان به استفاده از رمز دوم پویا، مخصوصا انواعی که ازطریق پیام کوتاه ارسال می‌شوند، به‌عنوان ضامن قطعی تأمین امنیت کاربران نگاه کرد. به‌همین دلیل است که بسیاری از بانک‌ها مانند ING ارسال رمز یک‌بار مصرف ازطریق SMS را کاملا کنار گذاشته‌اند. برای آشنایی با معایب رمزهای OTP می‌توانید این مقاله را مطالعه کنید. البته نباید فراموش کرد که رمزهای پویا با تمام خطراتی که ممکن است داشته باشند، همچنان از رمزهای ثابت و ایستا بسیار امن‌تر هستند.

با گسترش روزافزون فروشگاه‌های اینترنتی و پرداخت‌های بی‌شمار از طریق وب، حملات فیشینگ رشد خطرناکی داشته‌اند؛ به‌گونه‌ای که بانک‌ها سخت به فکر چاره برای به‌حداقل‌رساندن این سوءاستفاده‌ها افتادند و درنهایت روشی را که در سطح دنیا بسیار مرسوم و شناخته‌شده است و با نام‌ها و ایجاد فضاهای مختلفی کار می‌کند، به مرحله‌ی اجرا گذاشته‌اند. هدف، ایجاد محیطی امن برای پرداخت‌ها است که لاجرم تغییراتی در شیوه‌ی عملکردی معمول کشور ما ایجاد می‌کند. اگر فهرستی از مزایا و معایب این دو شیوه‌ی پرداخت تهیه کنیم، قطعا کفه‌ی ترازو به سمت مزایای روش جدید سنگینی می‌کند. اما اطلاع‌رسانی و همکاری بانک‌ها برای عملی‌کردن هرچه سریع‌تر امر و همچنین همکاری بانک با مردم و سعی در رفع مشکلات موجود و احتمالی، ضمن رفع ابهامات، اهمیتی بسیار دارد که نباید از آن‌ها غافل شد.

امنیت بیشتر یا دردسر مضاعف؟ نظر شما چیست؟ آیا تابه‌حال از رمز پویا استفاده کرده‌اید؟