پیمان محمدی
پیمان محمدی
خواندن ۱ دقیقه·۲ سال پیش

بحران پرداخت اینترنتی: رمز دوم پویا

بدون شک احراز هویت تک مرحله‌ای از امنیت بسیار پایینی برخوردار است. به همین دلیل ایده احراز هویت چند مرحله‌ای مطرح شده است.


یکی از روش های پیاده سازی احراز هویت چند مرحله‌ای به این صورت است که شما پس از وارد کردن رمز عبور، با استفاده از یک نرم افزار بخصوص، کدی تصادفی و غیر قابل حدس را تولید کرده و در وب سایت و یا سرویس مورد نظر وارد می‌کنید. پس از آن احراز هویت تکمیل شده و به سرویس مورد نظر می‌توانید دسترسی داشته باشید.

سال‌ها به سیستم مالی کشور هشدار داده می‌شد که جهت جلوگیری از سرقت از کارت های بانکی، سیستم احراز هویت چند مرحله‌ای پیاده سازی شود.

در دی ماه 1398 سیستم به اصطلاح «رمز پویا» پیاده سازی شد. اما با توجه به بی کفایتی پیاده کنندگان، «رمز ایستا» از کارت های بانکی به طور کامل حذف، و «رمز پویا» جایگزین شد.

این نوع پیاده سازی عجیب باعث شد که تمامی مزیت های «احراز هویت چند‌مرحله‌ای» از بین رفته و سیستم ارسال رمز پویا از طریق پیام کوتاه که بسیار ناامن‌تر از گذرواژه است، جایگزین آن شود.

به عبارت دیگر، اگر گذرواژه را «فاکتور اول» و برای امن‌تر کردن آن تولید رمز یک‌بار مصرف را «فاکتور دوم» در نظر بگیریم؛ عملاً رمز پویا تبدیل به فاکتور اول شده است و هیچ فاکتور دومی وجود ندارد.


همانطور که در بخش قبلی ذکر شد، بدلیل آنکه فاکتور دومی وجود ندارد، رمز پویای پیامکی به اندازه رمز ایستا ناامن بوده و چندسال پس از این پیاده‌سازی احمقانه حالا نتیجه آن را می‌توانیم ببینیم.

سرویس: برای پرداخت های کمتر از 100 هزار تومان مجبور به احراز هویت کاربران هستیم.
سرویس: برای پرداخت های کمتر از 100 هزار تومان مجبور به احراز هویت کاربران هستیم.


این محدودیت برای کسانی که حتی رمز دوم پویا از طریق اپلیکیشن را دارند اعمال شده و راهی برای متمایز کردن این کاربران از همدیگر وجود ندارد.

احراز هویترمز پویابحرانپرداختاینترنتی
ویرگول ایموجی ها را از این بخش حذف می‌کند!
شاید از این پست‌ها خوشتان بیاید