در راستای ابلاغ بخش نامه های بانک مرکزی به شبکه ی بانکی کشور، در خصوص الزام استفاده از رمز یکبار مصرف (رمز پویا)، به جای رمز ثابت (رمز ایستا)، به منظور جلوگیری از سرقت اطلاعات حساب مشتریان بانکی، بالا رفتن امنیت تراکنش های اینترنتی، افزایش اعتماد مشتریان به سیستم بانکداری الکترونیک و همچنین کاهش جرایم سایبری، در این مقاله به بررسی این مهم خواهیم پرداخت.
از اوایل شهریور ماه سال 97، همه بانک ها باید ظرف سه ماه، بستر استفاده از رمز دوم یکبار مصرف (OTP) را برای مشتریان خود فراهم می کردند. مطابق با این بخش نامه، رمز ثابت (رمز ایستا)، فقط تا پایان اردیبهشت ماه امسال، قابل استفاده است و پس از آن حذف و رمز دوم یکبار مصرف استفاده خواهد شد. در واقع اول خرداد ماه سال 98، آخرین مهلت بانک ها، برای اجرای این طرح در نظر گرفته شده است. و از این به بعد، استفاده از رمز یکبارمصرف، در تمام تراکنش های بانکی، که به صورت غیرحضوری، از طریق اینترنت و با استفاده از اپلیکیشن های مربوط به بانک مورد نظر، صورت می پذیرند، الزامی است. لازم به ذکر است که حداکثر زمان استفاده از رمز یکبار مصرف ، برای هر تراکنش، 60 ثانیه می باشد و پس از آن دیگر قابل استفاده نخواهد بود.
بانک مرکزی در راستای شفافسازی طرح جایگزینی رمزهای پویا به جای رمزهای ایستا با صدور اطلاعیه ای اعلام کرد تراکنشهایی که مبلغ آنها کمتر از ۵۰۰ هزار تومان است، بدون داشتن رمز دوم یکبار مصرف انجام می شود و صدور رمز دوم یکبار مصرف برای مشتریان بانکی هزینه نخواهد داشت. در این بخشنامه ذکر شده: اگر بانکها بتوانند راهحلی برای تأیید هویت مشتریان بانکی در هر تراکنش پیدا کنند، با موافقت بانک مرکزی می توانند آن را جایگزین طرح رمز پویا (رمز یکبار مصرف) نمایند.
رمز ایستا (رمز ثابت، مختص دارندگان کارتهای اعتباری) : رمز بانکی، که فقط یک بار از طرف دارندگان کارت های بانکی تعیین می شود، و تا زمانی که خود دارنده ی کارت، نخواهد آن را تغییر دهد، به عنوان رمز اول یا دوم کارتش می تواند برای انجام تمامی تراکنش های مالی، از آن استفاده نماید.
رمز پویا (OTP یا همان رمز یکبار مصرف) : که رمز تصادفی هم به آن گفته می شود، چون قابلیت رمز نگاری برای تولید رمز های تصادفی را دارد. رمزی است که به درخواست کاربر، برای انجام هر تراکنش بانکی، در اختیار کاربر قرار می گیرد، و برای هر ورود، یک رمز خاص به کاربر ارائه می شود و کاربر فقط یک بار می تواند از آن استفاده نماید. این رمز از طریق ابزار های سخت افزاری و اپلیکیشن ها هم، برای کاربران ارسال می شود.
هر بانک اپلیکیشن مختص به خودش را دارد، که زمان استفاده از اپلیکیشن، برای انجام تراکنش فعلی، به مشتری یک رمز یکبار مصرف ارائه میدهد و زمان اعتبار رمز هم، مختص به انجام همان تراکنش خواهد بود.
رمز یکبار مصرف One-Time Password : یک کد چند رقمی است که از طریق SMS، یا دستگاه های رمزیاب(Token)، به مشتریان سیستم بانکداری الکترونیک، ارسال می شود، تا علاوه بر وارد کردن مشخصات کارت بانکی، پسورد، سوال های امنیتی، برای احراز هویت افراد هم، از این کد یکبار مصرف ، استفاده شود. این روش، یکی از روش های جلوگیری از حدس زدن رمز های ضعیف و نامناسب به شمار می آید، که برای بالا بردن امنیت دسترسی کاربران به سیستم های الکترونیکی، به کار گرفته می شود.
رمز یکبار مصرف چاپی، به تعداد مشخصی رمز یکبار مصرف اطلاق می شود، که روی یک برگه نوشته شدند و روی آن ها را با پوشش خاصی پوشش دادند، و در اختیار صاحبین حساب قرار می دهند و برای انجام هر تراکنش بانکی، از یکی از رمزها استفاده خواهد شد. باید توجه داشت، که رمزها، قبل از اینکه نوبت به آنها برسد و بعد از یکبار به کارگیری، دیگر قابل استفاده نخواهند بود.
نشانه ی امنیتی که در اختیار مشتریان قرار می گیرد تا هویت آنها، برای استفاده از یک سیستم کامپیوتری، به راحتی احراز گردد. به طور خلاصه، به احراز هویت افراد به صورت الکترونیکی اطلاق می شود و امکان دسترسی به حساب بانکی را از راه دور، برای مشتریان سیستم های بانکی الکترونیکی، فراهم می آورد.
قبلاً از توکن استفاده می شده، که به سبب فراگیر شدن تلفن های همراه هوشمند، بانک ها موظفند، از طریق اپلیکیشن های مختص به خود، امکان استفاده از رمز های یکبار مصرف را باید برای مشتریان خود فراهم کنند.
با افزایش تهدید ها و حملات فیشینگ، فارمینگ، کی لاگرها، همچنین گستردگی بد افزارها، استفاده از رمزهای ایستا (رمز ثابت) باعث پایین آمدن امنیت در سیستم های بانکداری الکترونیک شده و به همین منظور بهترین راهکار برای افزایش هر چه بیشتر امنیت در انجام تراکنش های بانکی، تولید اپلیکیشن های بانکی است که در آن ها، مشتریان بتوانند از رمزهای یکبار مصرف استفاده کنند.
فیشینگ: سایت های جعلی پرداخت که کاملاً شبیه قسمت پرداخت بانک ها طراحی می شوند، که کاربران را به آن ها انتقال می دهند و با ورود تمام اطلاعات از جمله، رمز دوم ثابت در کنار دیگر اطلاعات حساب افراد، باعث سوء استفاده و سرقت های آنلاین می شوند.
فارمینگ: یک حمله مهندسی اجتماعی هست که برای دسترسی به گواهینامه های دستیابی، مانند نام کاربری و رمز عبور در سرقت های آنلاین به کار گرفته می شود.
کی لاگرها: نرم فزارهای سرقت اطلاعات از روی کیبورد هستند. این نرم افزار ها کلیدهای فشرده شده بر روی صفحه کلید را ذخیره می کنند به صورتی که می شود ، اطلاعات تایپ شده ی کاربران از قبیل رمز های عبور را سرقت کرد.
در واقع، اگر رمز ثابت یک فرد توسط سارقین (یا افراد دیگر) شناسایی شود، به راحتی و در هر زمانی می توانند به اطلاعات حساب آن شخص دسترسی پیدا کنند. این در حالیست که استفاده از رمز یکبار مصرف، حتی اگر برای دیگران قابل مشاهده هم باشد، خطری حساب بانکی و تراکنش های مالی افراد را تهدید نمی کند. از طرفی چون برای اکثریت مردم، حفظ کردن رمزهای طولانی و پیچیده دشوار است، از رمزهای آسان و قابل حدس زدن به عنوان رمز دوم بانکی خود استفاده می کنند، که همین امر هم سبب در خطر بودن اطلاعات حسابشان می شود و خب استفاده از رمز یکبار مصرف، سبب بهبود امنیت حساب های کاربران می شود.
در خصوص یکی از روش های دریافت رمز یکبار مصرف، به طور مفصل صحبت کردیم، در اینجا به اختصار دوباره آن را توضیح میدهیم، در زمان استفاده از اپلیکیشن بانک، دارندگان کارت های اعتباری با درخواست رمز یک بار مصرف و دریافت آن، از اپلیکیشن با یک زمان اعتبار مشخص، که به طور معمول 60 ثانیه است اقدام به انجام تراکنش بانکی خود می نمایند.
یکی دیگر از روش های دریافت رمز یکبار مصرف، به این صورت است که هنگام انجام تراکنش براساس درخواست دارندگان کارت های بانکی،پیامکی حاوی رمز یکبار مصرف به شماره تلفن همراه کاربر ارسال می شود که هر کاربر تنها می تواند یکبار برای انجام آن تراکنش از آن استفاده کند. این روش قابلیت اجرا در تمام گوشی های همراه را دارد.