به گزارش خبرنگار اقتصادی خبرگزاری شبستان، با توجه به گستردگی تراکنش های بانکی و انجام حداکثری تراکنش ها در بستر اینترنت، بانکداری الکترونیکی و افزایش مبادلات در این حوزه لزوم به کارگیری شیوه های مدرن برای بالابردن امنیت این نوع تراکنش ها با استفاده از رمزهای یکبار مصرف مقرون به صرفه است.
رمز یک بار مصرف یا OTP - One Time Password یک جایگزین برای رمز دوم است. رمز یکبار مصرف برای ایمن سازی دسترسی کاربران به سیستم های الکترونیکی ارائه شده که در آن از قابلیت های رمز نگاری برای تولید رمز تصادفی یک بار مصرف استفاده می شود. برای اینکه کاربران استفاده کننده از خدمات بانکداری اینترنتی امکان جابجایی مبالغ بالاتر و ایمن را داشته باشند.
مهمترین مزیت استفاده از OTP یا رمز یک بار مصرف این است که سرقت اطلاعات با دانستن رمز عبور غیر ممکن می شود. حال قرار شده تا بانکها از اول خرداد ماه 98 رمز دوم ثابت را حذف کرده تا با جایگزینی رمز یکبار مصرف مقابله جدی با برداشتهای غیرمجاز صورت بگیرد.
در همین راستا بانک مرکزی الزامات رمزهای پویا را برای افزایش امنیت تراکنشهای بانکی ابتدای شهریور امسال به نظام بانکی کشور ابلاغ کرد تا استفاده از رمزهای پویا یا یکبار مصرف برای افزایش امنیت در تراکنشهای بانکی به عنوان یک ضرورت پیگیری شود.
بر اساس دستورالعمل بانک مرکزی جمهوری اسلامی ایران، بانکها و موسسات مالی و اعتباری در بخش اول الزامات استفاده از رمزهای یکبار مصرف مرحله دوم الزامات رمزهای پویا از اول آذرعملیاتی شد و تا این تاریخ بانکها فرصت داشتند تا زیرساخت رمز یکبار مصرف را در سامانه بانکی قرار دهند و فرهنگ سازیهایی در این بخش انجام دهند تا مشتریان آنها از زیرساخت رمزهای یکبار مصرف استفاده کنند.
بر اساس این گزارش معاونت فناوری اطلاعات و اداره کل بانکداری شخصی بانکها از سوی مدیران ماموریت یافتند تا زیرساخت رمز یکبار مصرف را توسعه و راهاندازی کنند که بخش گستردهای از آن در زیرساخت بانکداری پیاده سازی شده است.
هم اکنون بانکهای ملی، سامان، سپه، ایران زمین، کارآفرین، سرمایه، پاسارگاد، سینا، صادرات ایران، ملت دارای خدمت رمز یکبار مصرف هستند، در این میان هنوز چند بانک و موسسه مالی و اعتباری خدمات رمز یکبار مصرف را ارائه نکردند که نیاز است هر چه سریعتر اقدامات مربوطه را انجام دهند و بانکها با هم افزایی نسبت به فرهنگ سازی در میان مشتریان سیستم بانکی در این زمینه اقدامات لازم را انجام دهند.
در مرحله دوم الزمات دستورالعمل بانک مرکزی در زمینه رمزهای یکبار مصرف تاکید شده، در صورت عدم طراحی، راهاندازی و پیاده سازی زیرساخت رمز یکبار مصرف در بانکها و موسسات مالی و اعتباری کشور، اگر مشتری با یکی از روشهای کلاهبرداری مالی و سایبری از جمله فیشینگ متحمل ضرر شود باید بانک یا موسسه مالی و اعتباری مذکور به دلیل نداشتن زیرساخت امن رمز یکبار مصرف به عنوان ضرورت بانک مرکزی خسارت مشتری خود را به صورت کامل جبران کند، بر همین اساس نیاز است بانکها به منظور جلوگیری از خسارات احتمالی به مشتریان هر چه سریعتر این زیرساخت را توسعه داده و با فرهنگ سازی آن را در میان مشتریان بانکی معرفی کنند.
بر اساس دستور العمل و الزامات رمزهای پویا که توسط بانک مرکزی منتشر شده است، استفاده از رمزهای دوم پویا یا همان رمزهای یکبار مصرف برای تمامی دارندگان کارتهای بانکی از ابتدای خرداد ماه سال ۱۳۹۸ ضروری است و رمز دوم ایستا که تا به امروز در شبکه بانکی مورد استفاده قرار میگرفته است، به طور کامل حذف و با رمزهای دوم پویا جایگزین خواهند شد تا امنیت در تراکنشهای بانکی ساتنا و پایا افزایش داشته باشد و در عین حال کلاهبرداریهای رایج به دلیل نبود رمز یکبار مصرف و خلاء موجود در نظام بانکی کاهش چشمگیری پیدا کند.
طبق موادی از دستورالعمل بانک مرکزی درباره مشخصات لازم برای رمزهای پویا، حداقل طول رمز پویای جایگزین رمز اول کارت باید چهار رقم و حداقل طول رمز پویای جایگزین رمز دوم کارت باید هفت رقم باشد، طول عمر رمزهای پویا باید حداکثر شصت ثانیه باشد و پس از این زمان رمز تولید شده منقضی و غیر قابل استفاده شود.
علاوه بر این رمزهای پویا در طول عمر خود باید تنها یک بار توسط موسسه اعتباری پذیرفته شوند و رمزهای پویا در طول عمر خود صرفا برای استفاده از خدمات مبتنی بر یک کارت مشخص از بین کارت های صادرشده توسط موسسه اعتباری قابل استفاده باشند.
این گزارش می افزاید: تکنولوژی OTP برای انجام تراکنش های امن بانکی در حوزه Web کاربرد دارد بر اساس کارت و یا ابزاری که توسط بانک به مشتری داده می شود، برای انجام هر تراکنشی یک رمز تولید می شود که تنها برای یک بار اعتبار دارد. در این تکنولوژی رمز یکبار مصرف بر اساس الگوریتم تعریف شده در ابزار کاربر و در سرور مرتبط تولید می شود و دارای انواع مختلفی نظیرresponse challenge, time- base است. امنیت OTP به دلیل استفاده از امکانات استاندارد رمزنگاری بسیار بالا می باشد.
برنامه نویسان هر اندازه که نکات امنیتی را در برنامه نویسی و سمت سرور لحاظ کند، روی امنیت سمت کلاینت (کاربر) تسلط و کنترل کاملی ندارد. چون مرورگر دسترسیهای محدودی به آنها میدهد. از ضعفهای سمت کاربر که میتواند موجب بدست آوردن پسورد کاربران (مدیران) سایت شود، برنامه های کیلاگرهستند که کی لاگر ها ممکن است به دو صورت سخت افزاری و نرم افزاری به کار برده شوند.
key logger ها، همه کلیدهای فشرده شده روی کیبورد را ذخیره و به سازنده آن کیلاگر ارسال میکنند. روشهایی برای مقابله با این خطر وجود دارد که استفاده از کیبورد مجازی یکی از روشهای آن است. در حال حاضر نیز در صفحه پرداخت اینترنتی بسیاری از بانکها قابل استفاده می باشد.اما با روش های نوین جاسوسی و با استفاده ازعکس برداری از صفحه نمایش وهمزمان با کلیک کاربر اقدام به ثبت مختصات مورد نظر می نمایند که این روش نیز نوعی امنیت کیبورد های مجازی را به چالش می کشد.
از این رو بهترین راه مقابله با کیلاگرها، استفاده پسورد یکبار مصرف است که از روشی غیر از کامپیوتر فعلی کاربر، به دستش برسد. در این حالت، کیلاگری که پسوردها را ذخیره و به سازندهاش ارسال میکند، بیاثر میشود چون پسورد ذخیره شده توسط کیلاگر، فقط یکبار معتبر بوده است و تنها یکبار میتوان از ان استفاده کرد.
پسورد یکبار مصرف تولید شده، نباید توسط کامپیوتر کاربر (یا حتی وسیله دیگری با همان خط اینترنت) به دست کاربر برسد زیرا در اینصورت؛ علاوه بر کاربر، برنامه جاسوس نیز میتواند به آن دست یابد.
یادآور می شود: رمزهای یکبار مصرف، بسیاری ازنقاط ضعف رمزهای قدیمی یا همان رمزهای ثابت را پوشش میدهد. و امنیت بیشتری را فراهم می آورد.مهمترین نقصی که توسط رمز یکبار مصرف جبران میشود، عدم آسیبپذیر بودن در تکرار حملات است.
با استفاده از این روش، یک مزاحم بالقوه که به نحوی موفق به دستیابی رمز یکبار مصرف میشود که قبلاً با آن به سرویسی دسترسی پیدا کردهاند یا تراکنشی انجام شده است، دیگر قادر نیست تا از آن سوءاستفاده کند چرا که این رمز باطل شده است. خردهای که به رمز یکبار مصرف گرفته میشود، دشواری در بهخاطرسپاری آنها توسط انسان است که به همین دلیل بهرهگیری از فناوری کمکی، در استفاده از رمز یکبار مصرف، الزامی است./
نظر شما