رمزهاي پويا يا به عبارت دقيقتر رمزهاي يكبار مصرف (OTP[1]) گذرواژههايي هستند كه در هر بار اتصال كاربر براي انجام يك عمليات تراكنشي، مانند افتتاح حساب كاربري، تراكنش مالي و... توليد و به مدت معلومي داراي اعتبار هستند. رمز يكبار مصرف براي ايمنسازي دسترسي كاربران به سيستمهاي الكترونيكي ارايهشده كه در آن از قابليتهاي رمزنگاري براي توليد رمز تصادفي يكبار مصرف استفاده ميشود. مهمترين مزيت استفاده از OTPيا رمز يكبار مصرف اين است كه سرقت اطلاعات با دانستن رمز عبور غيرممكن ميشود. آشنايي كاربران ايراني با رمزهاي يكبار مصرف بهصورت گسترده در نصب اپليكيشنهاي پيامرسان صورت گرفت؛ وقتي كه اپليكيشن براي ورود كاربر از وي شماره تلفن يا آدرس ايميل درخواست كرده و يك كد عبور چهار يا پنج رقمي براي كاربر ارسال ميكند تا به اين صورت احراز هويت تكميل شود. يكي از كاربردهاي مهم اين تكنولوژي، ايمنسازي تراكنشهاي بانكي، بهخصوص تراكنشهاي بستر اينترنت و درگاههاي پرداخت است. آمارهاي منتشرشده، از حجم عظيم برداشتهاي غيرمجاز و مجرمانه از حساب كاربران شبكه بانكي حكايت دارد، به طوري كه رييس پليس فتا در سال 95 اعلام كرد: بيش از ۳۴ درصد پروندههاي متشكله از بدو تاسيس پليس فتا تاكنون مربوط به برداشتهاي بانكي است كه برخي از اين پروندهها تا ۲۵۰۰ نفرمالباخته (تنها در يك پرونده) داشتهاند و اين آمار بالاي تشكيل پرونده، ضرورت حساس شدن بانكها به افزايش سطح استانداردهاي امنيتي و ارتقاي سطح تعامل و همكاري با پليس فتا را نشان ميدهد كه در اين راستا همچنين افزايش ضريب دقت مردم در حفظ اطلاعات بانكي خود نيز مورد تاكيد است.
در همين راستا و با توجه به وظايف بانك مركزي بر تنظيم مقررات حوزه امنيت تراكنشهاي بانكي، اين بانك بخشنامه «الزامات رمزهاي پويا بر تراكنشهاي مبتني بر كارت» را منتشر و به بانكها و موسسات مالي كشور ابلاغ كرد. در اين بخشنامه كه به كمك شركت كاشف تهيه شده، زمانبندي و مراحل مختلف اجرا به بانكها تكليف شده است. همچنين در پيوست اين بخشنامه جزیيات و الزامات فني به بانكها و صادركنندگان كارت ابلاغ شده است. در اين يادداشت زواياي مختلف اين ابلاغيه مورد بررسي قرار گرفته است.
حجم و ابعاد تراكنشهاي OTP
ايران كشوري با 85 ميليون جمعيت است كه كمي بيش از 30 درصد آن بين 15 تا 60 سال سن دارند. سرويس بانكداري و پرداخت الكترونيكی براي اين جامعه بهگونهاي گسترش يافته كه شبكه ملي شتاب به يكي از بزرگترين شبكههاي ملي بانكداري الكترونيكی در غرب آسيا و شمال آفريقا تبديل شده است. اين شبكه شامل 34 سوييچ بانكي، 50 هزار خودپرداز، بيش از 5/6 ميليون دستگاه كارتخوان بانكي است. بيش از 350 ميليون كارت در كشور صادر شده است و آمارها نشاندهنده فعال بودن 90 ميليون كارت در ايران است. حجم تراكنشهاي الكترونيكي در شبكه شتاب بالغ بر 30 ميليارد در سال است كه حدود 17 ميليارد تراكنش به پرداخت الكترونيكی اختصاص دارد؛ يعني هر ايراني بالغ به طور متوسط سالانه بيش از 650 تراكنش پرداخت انجام ميدهد. اين آمار مربوط به سال 95 است و تعداد تراكنشها سالانه بين 25 تا 30 درصد رشد با خود به همراه دارد. حجم تراكنشهاي پرداخت الكترونيكی از لحاظ مبلغ نيز قابل توجه است و به 1600 هزار ميليارد تومان در سال ميرسد كه معادل با حجم نقدينگي كل كشور است. تراكنشهايي كه بر بستر درگاههاي امني مانند كارتخوان و خودپرداز انجام ميشوند دو عاملي هستند، يعني براي انجام تراكنش داشتن دو فاكتور شماره كارت و رمز اول كافي است. البته غير از رمز اول، بقيه اطلاعات تراكنش، مانند نام و نام خانوادگي، شماره كارت، CVV2 در قسمت مگنت كارتها ذخيره شده كه دستگاه پذيرنده اطلاعات را از آن واكشي ميكند. در تراكنشهايي كه اصطلاحا CNP[2] نام دارند، چهار فاكتور براي انجام تراكنش لازم است كه شامل شماره كارت، رمز دوم (4 تا 8 رقم)، CVV2 و تاريخ انقضاي كارت است. از بين اين چهار پارامتر، تنها پارامتري كه روي كارت حك نشده و تنها در حافظه مشتري ذخيره شده، رمز دوم كارت است. منشا بسياري از سرقتها و سوءاستفادهها، ناشي از لو رفتن رمز دوم كارت مشتريان است؛ بنابراين چنانچه در تراكنشهاي CNP بتوان رمز دوم را بهصورت OTP توليد كرد، امنيت اين نوع تراكنشها تا حد قابل توجهي افزايش مييابد.
دو میلیارد پیامک برای استفاده از OTP
آمارهاي منتشرشده در گزارش اقتصادي شركت شاپرك نشان ميدهد كه در سال 96، حدود 3 درصد از تراكنشها بر بستر اينترنت و 8 درصد بر بستر موبايل انجام شده است، بنابراين به صورت بالقوه 11 درصد از تراكنشهاي شبكه پرداخت را كه بدون حضور كارت و با چهار فاكتور انجام ميشوند ميتوان با ابزار OTP ايمن کرد. رمز دوم پويا ميتواند بر بستر كارت، پيامك، ايميل يا دستگاههاي چاپ رمز توليد شود. در اين ميان فراگيرترين روش استفاده از پيامك و همچنين نمايش رمز بهصورت ديجيتال روي كارت است. با توجه به سهم 11 درصدي تراكنشهاي CNP، حدود دو ميليارد تراكنش نياز به ارسال پيامك خواهند داشت که با توجه به هزینه حداقل 10 تومانی برای هر پیامک مبلغی نزدیک به 200 میلیارد ریال به بانکها برای اجرای این بخشنامه تحمیل خواهد شد. البته اين تعداد پيامك در حال حاضر نيز بازار قابل اعتنايي براي اپراتورهاي موبايل است. از طرف ديگر با توجه به جنجالهاي پيش آمده در سالهاي گذشته پيرامون هزينه ارسال پيامكها، بايد ديد بانكها به چه صورت ميتوانند اين هزينه را از مشتري اخذ كنند. در هر صورت، روش ارسال OTP بر بستر پيامك ابعاد كسبوكاري مختلفي دارد كه از نتايج اين بخشنامه است. هرچند چنانكه پيداست، استفاده از OTP و گره زدن بخشي از تراكنشهاي شبكه بانكي به زيرساختهاي مخابراتي، زمينهساز منازعات احتمالي ميان اين دو صنعت خواهد بود.
البته بانک ملی ایران با رونمایی از نرمافزار پیامرسان بله، سعی در جایگزین کردن پیامک با ارسال پیام در این شبکه اجتماعی دارد که به نظر میرسد تا حدود زیادی هم در این امر موفق بوده است. از همین رو چنانچه سایر بانکها نیز بتوانند از بسترهای مشابهی استفاده کنند قطعا در کاهش هزینه پیامکهای آنها بیتاثیر نخواهد بود.
زمان كوتاه تا جراحي بزرگ
در اين بخشنامه زمان اجراي اين طرح آذرماه 97 در نظر گرفته شده است. از آذرماه به بعد استفاده از رمز ايستا و پويا توامان خواهد بود و تمامي خسارات ناشي از لو رفتن رمزهاي دوم مشتريان بر عهده بانكها گذاشته شده است. اين زمانبندي به نظر بسيار فوري و غيرمنتظره ميآيد و شايد بهتر ميبود بانك مركزي زمان بيشتري را صرف فرهنگسازي براي مردم از يكسو و همچنين آمادگي فني و اجرايي بانكها از سوي ديگر ميكرد. به هر حال در خصوص استفاده از كارتهاي نسل جديد براي نمايش رمز پويا نيز بايد ديد تعويض كارتهاي قديمي با كارتهاي جديد چه تحليل هزينه-فايده و برآورد زماني خواهد داشت. طبق زمانبندي ابلاغشده، تا خرداد 98 هيچ رمز دوم ايستايي در شبكه بانكي پذيرفته نيست. آخرين مهلت مهاجرت بانكها به رمز دوم پويا، تنها 9 ماه ديگر خواهد بود!
دیدگاهها