رمز پویا چگونه ایجاد می‌شود و چگونه کار می‌کند؟

رمز پویا چیست؟

رمز یک‌بار مصرف، رمز پویا یا OTP (مخفف One-Time Password) رمزی است که گیلبرت ورنام، مهندس آزمایشگاه‌های بل در سال ۱۹۱۹ ابداع کرد و تنها برای یک ورود یا انجام تراکنش اعتبار دارد. این رمز نهایتا ۶۰ ثانیه معتبر است و پذیرش آن توسط بانک در یک بازه‌ی زمانی مشخص، تنها یک‌بار صورت می‌پذیرد. مشکل رمز ایستا آنجا بغرنج می‌شود که اکنون مشاهده می‌کنیم، افراد برای کارت‌های متعدد خود از یک رمز ثابت استفاده می‌کنند.

رمز پویا درواقع نوعی «احراز هویت چند عاملی» (MFA) است که بسیاری از ما تجربه‌ی کارکردن با آن را هنگام استفاده از سرویس‌های ایمیل و پیام‌رسان‌ها داریم. به‌کارگیری این رمز بسیاری از معایب رمز ایستا را رفع می‌کند. بنا به ادعای مایکروسافت، استفاده از احراز هویت چندعاملی کاربران را دربرابر ۹۹/۹ حملات مصون می‌کند. گوگل نیز ادعا می‌کند با استفاده از تأیید چندمرحله‌ای، می‌توان جلوی ۹۹ درصد حملات فیشینگ را گرفت. به‌گفته‌ی سردار سید کمال هادیان فر، رئیس پلیس تولید و تبادل اطلاعات ناجا (فتا)، برداشت‌های غیرمجاز از حساب بانکی افراد در سال ۹۶ نسبت به سال ۹۵ بیش از ۶۱ درصد افزایش داشته و فیشینگ عامل شکل‌گیری یک‌سوم جرائم سایبری در کشور است.

رمز پویا چگونه ایجاد می‌شود و چگونه کار می‌کند؟

در حال حاضر بانک‌ها اپلیکیشن‌های ویژه‌ای را در وب‌سایت خود معرفی کرده‌اند. برای فعال‌کردن رمز پویا نیاز است که افراد به وب‌سایت کارت بانکی خود مراجعه کرده و نسبت به فعالسازی آن اقدام کنند. پس از آن لازم است، هر بار هنگام خرید یا انتقال وجه آنلاین، کاربر هم‌زمان اپلیکیشن مذکور را باز کرده و مدت زمان معینی تا نهایت ۶۰ ثانیه برای آن مشخص می‌کند و سپس تراکنش موردنظر خود را انجام دهد. به این صورت می‌توان اطمینان حاصل کرد که امکان هیچ‌گونه سوءاستفاده از کارت شخص وجود نخواهد داشت. اپلیکیشن بانک‌ها این رمز را با استفاده از الگوریتم پیچیده‌ای تولید می‌کند که دسترسی به آن برای هکر‌ها بسیار پیچیده یا حتی غیرممکن است. به‌علاوه بانک‌ها می‌توانند ازطریق پیامک نیز برای ارسال رمز اقدام کنند. امید است در آینده امکان ارسال کد یک بار مصرف ازطریق USSD (ارسال پیام از طریق کد دستوری) نیز در تمام بانک‌ها فراهم شده تا جمع روش‌های کسب رمز یک‌بار مصرف موجب شود تا تمام کاربران حتی کسانی که گوشی غیرهوشمندی استفاده می‌کنند یا درکل گوشی در اختیار یا در دسترس ندارند، از خدمات غیرحضوری بهره ببرند. علاوه‌بر این، می‌توان روش‌هایی مانند استفاده از اپلیکیشن تأیید هویت برای تمامی بانک‌ها را به کار گرفت تا تمام کارها در یک اپلیکیشن انجام شود. اما مشخص است که هنوز تا آن زمان فاصله داریم.

الگوریتم‌های تولید رمز OTP به‌طور معمول از اعداد تصادفی، شبه‌تصادفی یا توابع درهم‌ساز استفاده می‌کنند تا کار حدس رمز را برای هکر دشوار کنند. انجام چنین کاری بسیار حائز اهمیت است چرا که در غیر این صورت، پیش‌بینی رمزهای یک‌بار مصرف در آینده با مشاهده‌ی رمزهای قبلی ساده‌تر می‌گردد. رمزهای یک‌بار مصرف در سرتاسر دنیا به روش‌های مختلفی اعم از تلفن، پیامک، توکن اختصاصی و کپی OTP به کاربر ارائه می‌شوند که روش چاپ آن ارزان‌ترین و پیامکی، گران‌ترین محسوب می‌شود. می‌توانید از طریق این لینک درباره‌ی نحوه‌ی ساخت رمزهای یک‌بار مصرف بیشتر بخوانید.

نمونه‌های مشابه در دیگر کشورها:

تأیید پرداخت و استفاده از رمزهای یک‌بار مصرف از روش‌های مرسوم بانک‌ها که در ا اپلیکیشن‌های ویژه‌ای را در وب‌سایت خود معرفی کرده‌اند. برای فعال‌کردن رمز پویا نیاز است که افراد به وب‌سایت کارت بانکی خود مراجعه کرده و نسبت به فعالسازی آن اقدام کنند. پس از آن لازم است، هر بار هنگام خرید یا انتقال وجه آنلاین، کاربر هم‌زمان اپلیکیشن مذکور را باز کرده و مدت زمان معینی تا نهایت ۶۰ ثانیه برای آن مشخص می‌کند و سپس تراکنش موردنظر خود را انجام دهد. به این صورت می‌توان اطمینان حاصل کرد که امکان هیچ‌گونه سوءاستفاده از کارت شخص وجود نخواهد داشت. اپلیکیشن بانک‌ها این رمز را با استفاده از الگوریتم پیچیده‌ای تولید می‌کند که دسترسی به آن برای هکر‌ها بسیار پیچیده یا حتی غیرممکن است. به‌علاوه بانک‌ها می‌توانند ازطریق پیامک نیز برای ارسال رمز اقدام کنند. امید است در آینده امکان ارسال کد یک بار مصرف ازطریق USSD (ارسال پیام از طریق کد دستوری) نیز در تمام بانک‌ها فراهم شده تا جمع روش‌های کسب رمز یک‌بار مصرف موجب شود تا تمام کاربران حتی کسانی که گوشی غیرهوشمندی استفاده می‌کنند یا درکل گوشی در اختیار یا در دسترس ندارند، از خدمات غیرحضوری بهره ببرند. علاوه‌بر این، می‌توان روش‌هایی مانند استفاده از اپلیکیشن تأیید هویت برای تمامی بانک‌ها را به کار گرفت تا تمام کارها در یک اپلیکیشن انجام شود. اما مشخص است که هنوز تا آن زمان فاصله داریم.

اغلب کشورهای جهان است. بدین معنی که مشتریان بانک‌ها برای خریدهای اینترنتی و واریز وجه بیشتر مواقع ملزم به دریافت رمز یک‌بار مصرف به‌مدت زمان محدود و ازطریق پیامک یا برنامه‌های نرم‌افزاری هستند. بیشتر بانک‌های بزرگ و معتبر جهان مانند بنک آو امریکا خدمات ارسال رمز دوم پویا را ازطریق پیامک به مشتریان خود ارائه می‌دهند. البته سیاست اجبار به استفاده از این روش‌ها هنگام خرید آنلاین در بین بانک‌ها متفاوت است. برای مثال بنک آو امریکا استفاده از رمز یک‌بار مصرف (که آن را SafePass می‌نامد) را از سال ۲۰۱۸ از حالت اجباری خارج کرده است.

امیدوارم مطالب فوق به دردتون خورده باشه...