بدون شک احراز هویت تک مرحلهای از امنیت بسیار پایینی برخوردار است. به همین دلیل ایده احراز هویت چند مرحلهای مطرح شده است.
یکی از روش های پیاده سازی احراز هویت چند مرحلهای به این صورت است که شما پس از وارد کردن رمز عبور، با استفاده از یک نرم افزار بخصوص، کدی تصادفی و غیر قابل حدس را تولید کرده و در وب سایت و یا سرویس مورد نظر وارد میکنید. پس از آن احراز هویت تکمیل شده و به سرویس مورد نظر میتوانید دسترسی داشته باشید.
سالها به سیستم مالی کشور هشدار داده میشد که جهت جلوگیری از سرقت از کارت های بانکی، سیستم احراز هویت چند مرحلهای پیاده سازی شود.
در دی ماه 1398 سیستم به اصطلاح «رمز پویا» پیاده سازی شد. اما با توجه به بی کفایتی پیاده کنندگان، «رمز ایستا» از کارت های بانکی به طور کامل حذف، و «رمز پویا» جایگزین شد.
این نوع پیاده سازی عجیب باعث شد که تمامی مزیت های «احراز هویت چندمرحلهای» از بین رفته و سیستم ارسال رمز پویا از طریق پیام کوتاه که بسیار ناامنتر از گذرواژه است، جایگزین آن شود.
به عبارت دیگر، اگر گذرواژه را «فاکتور اول» و برای امنتر کردن آن تولید رمز یکبار مصرف را «فاکتور دوم» در نظر بگیریم؛ عملاً رمز پویا تبدیل به فاکتور اول شده است و هیچ فاکتور دومی وجود ندارد.
همانطور که در بخش قبلی ذکر شد، بدلیل آنکه فاکتور دومی وجود ندارد، رمز پویای پیامکی به اندازه رمز ایستا ناامن بوده و چندسال پس از این پیادهسازی احمقانه حالا نتیجه آن را میتوانیم ببینیم.
این محدودیت برای کسانی که حتی رمز دوم پویا از طریق اپلیکیشن را دارند اعمال شده و راهی برای متمایز کردن این کاربران از همدیگر وجود ندارد.
