با رمز یکبار مصرف آشنا شوید
تکنولوژی رمزهای یکبار مصرف یا OTP یکی از روشهای مهم رمزنگاری است که امنیت در تراکنشهای بر پایه کارت را افزایش و در عین حال جرایم بانکی و برداشتهای غیر مجاز را کاهش میدهد.
موبنا – بانک مرکزی الزامات رمزهای پویا برای افزایش امنیت تراکنشهای بانکی را به سیستم بانکی کشور ابلاغ کرده و در همین راستا قصد داریم تا در این مطلب نگاهی به رمزهای یکبار مصرف و چگونگی کارکرد آن به منظور آشنایی بیشتر بپردازیم.
گسترش شیوههای پرداخت و گسترش سوء استفاده از سیستمهای بانکی توسط مجرمان سایبری باعث شده تا تامین امنیت تراکنشهای بانکی برای نظام بانکی به یک چالش بزرگ تبدیل شود و در عین حال کاربران برای تراکنشهای بانکی نگرانی و دغدغه حفظ امنیت اطلاعات خود را داشته باشند.
یکی از اساسی ترین روشهای موجود جهت ایجاد امنیت الکترونیکی استفاده از رمز عبور است که اغلب به عنوان یک راهحل رایج جهت دسترسی به منابع و داده های الکترونیکی به کار گرفته می شود که در این میان استفاده از رمزهای عبور یکبار مصرف یا OTP برای انجام تراکنش های بانکی و استفاده از خحدمات بر بستر بانکداری الکترونیک به شدت احساس می شود تا ضریب امنیتی بالایی برای مشتریان و کاربران در انجام تراکنشهای بانکی ایجاد شود.
رمز عبور یکبار مصرف یا OTP (One Time Password) روش محافظت از اطلاعات برای جلوگیری از سرقت رمز عبور است که رمز عبور با استفاده از روش های رمزنگاری تولید می شود و تنها برای یکبار ورود به سیستم معتبر است، مهم ترین مزیت استفاده از OTP و یا رمز یکبار مصرف این است، که سرقت اطلاعات با دانستن رمز عبور غیر ممکن میشود که به این معناست تا اگر مجرم سایبری رمز عبور قبلی شما را داشته باشد با توجه به این که رمز باطل شده نمیتواند وارد سیستم شود که گسترش استفاده از آن کاهش بسیار زیاد جرایم سایبری مالی به خصوص در بحث برداشتهای غیر مجاز را به دنبال دارد.
در تکنولوژی OTP برای برای انجام هر تراکنشی یک رمز تصادفی تولید و صرفا برای یک تراکنش اعتبار دارد؛ در این تکنولوژی با توجه به استفاده از امکانات رمزنگاری بسیار قدرتمند امنیت تولید رمز بسیار بالا است و رمز یکبار مصرف بر اساس الگوریتم ریاضی تعریف شده در ابزار کاربر و در سرور مرتبط تولید می شود.
مهم ترین نکتهای که باعث شده تا این تکنولوژی به فرآیند سیستم بانکی برای استفاده وارد شود آن است که برنامه نویسان و مهندسان شبکه قابلیت آن را دارند تا امنیت در حوزه سرویس دهنده ( مبدا خدمت) را افزایش دهند اما در سمت کلاینت یا سرویس گیرنده (مقصد خدمت) توان افزایش امنیت بسیار محدود است چرا که بسیاری از خدمات بانکی بر بستر مرورگرها انجام میشود؛ یکی از رایجترین ضعفهای سمت سرویس گیرنده که قربانیان زیادی را نیز داشته است و قابلیت آن را دارد تا اطلاعات و پسوردهای بانکی کاربران را حتی با وجود وارد کردن اطلاعات با کیبوردهای ایمن در درگاه پرداخت سرقت کند، برنامههای کی لاگر هستند که به صورت نرم افزاری و سخت افزاری توسط مجرمان سایبری ایجاد میشوند.
بهترین راهکار مقابله با مجرمان سایبری و کی لاگرها استفاده از رمزهای عبور یک بار مصرف است چرا که رمز عبور پویا صرفا یک بار قابل استفاده است و دفعه بعد نمیتوان از این گذر واژه استفاده کرد و ورود به سیستم نیازمند رمز عبور جدیدی است که تکرار حملات را غیر ممکن میسازد.
رمزهای یکبار مصرف معمولا با سه روش رایج به دست کاربران میرسد که از جمله آنها باید به ارسال یک پیامک کوتاه توسط بانک به کاربر به منظور ارائه رمز جدید اشاره داشت که در مقابل سایر روشها رایجتر است و در ایران نیز از این روش استفاده میشود؛ روش بعدی تولید و نمایش رمز جدید برای یک بازده زمانی مشخص از طریق پرینت است و در نهایت آخرین روش مربوط ارائه رمز عبور یک بار مصرف توسط سخت افزاری مخصوص و مستقل از شبکه اینترنت با عنوان رمز یاب است.
الزامات رمزهای پویا در تراکنش های مبتنی بر کارت را اینجا بخوانید
لازم به ذکر است؛ بانک مرکزی جمهوری اسلامی ایران طی ابلاغیهای الزامات رمزهای پویا یا همان رمزهای یکبار مصرف که در دنیای فناوری OTP شناخته میشوند را با همکاری شرکت کاشف تدوین و به بانکها و موسسات مالی و اعتباری کشور ابلاغ کرده تا مخاطرات رمزهای ایستا در تراکنشهای بر پایه کارت در سیستم بانکی کاهش پیدا کند؛ از جمله مشخصات لازم برای رمزهای پویا که توسط بانک مرکزی اعلام شده است، باید به موارد ذیل اشاره داشت:
ماده ۱۲_حداقل طول رمز پویای جایگزین رمز اول کارت باید چهار رقم باشد.
ماده ۱۳_حداقل طول رمز پویای جایگزین رمز دوم کارت باید هفت رقم باشد.
ماده ۱۴_طول عمر رمزهای پویا باید حداکثر شصت ثانیه بوده و پس ار این زمان رمز تولید شده منقضی و غیر قابل استفاده شود.
ماده ۱۵_ رمزهای پویا در طول عمر خود باید تنها یک بار توسط موسسه اعتباری پذیرفته شوند.
ماده ۱۶_ رمزهای پویا در طول عمر خود صرفا برای استفاده از خدمات مبتنی بر یک کارت مشخص از بین کارت های صادرشده توسط موسسه اعتباری قابل استفاده باشند.
منبع: ایبِنا