طرحی که بعید است از ابتدای خرداد کامل اجرایی شود

رمزگشایی از نحوه پیاده‌سازی رمزهای یک‌بار مصرف

• 28 اردیبهشت 1398 07:4 ق.ظ

شهریور سال گذشته بانک مرکزی بخشنامه‌ای به شبکه بانکی کشور ابلاغ کرد که طبق آن بانک‌ها موظف شدند بستر ارایه رمزیک‌بارمصرف (OTP) را فراهم کنند. بانک مرکزي به بانک‌هاي کشور دو بار مهلت داد تا زيرساخت‌هاي فني ايجاد رمز يک‌بار مصرف را براي مشتريان خود فراهم کنند که بیشتر بانک‌ها در پايان مهلت اوليه بانک مرکزي اين زيرساخت را فراهم نکردند؛‌ اما با ارسال ابلاغيه بانک مرکزي و تعيين پايان ارديبهشت به‌عنوان مهلت نهايي ايجاد زيرساخت رمز يک‌بار مصرف، بانک‌هاي کشور با ارسال پيامک به مشتريان خود از آنها خواستند براي فعال‌سازي رمز يک‌بار مصرف به شعب بانک مراجعه کنند. پیامک‌هایی که بسیاری از مردم را برای فعال‌سازی رمز دوم یک‌بار مصرف راهی شعب بانک‌ها کرد اما پیگیری‌ها نشان می‌دهد که هنوز ساز و کار اجرای این طرح در شماری از بانک‌ها مشخص نشده و مشتریان پس از مراجعه به آنها سرگردان شدند.

چرا OTP مهم است؟

علی نیک‌نفس معاون پلیس فتا می‌گوید تکنولوژی رمز یک‌بار مصرف یکی از روش‌های مهم رمزنگاری است که امنیت در تراکنش‌های بر پایه کارت را افزایش و درعین‌حال جرايم بانکی و برداشت‌های غیرمجاز را به شکل چشمگیری کاهش می‌دهد. استفاده از OTP برای انجام تراکنش‌های بانکی و استفاده از خدمات بانکداری الکترونیکی ضریب امنیتی بالایی برای مشتریان و کاربران در انجام تراکنش‌های بانکی ایجاد می‌کند. مثلا مهم‌ترین مزیت استفاده از رمز دوم یک‌بار مصرف OTP این است که برداشت غیرمجاز از حساب‌های بانکی را از طریق سرقت اطلاعات کارت‌های بانکی به خصوص رمز دوم اینترنتی که واردکردن آن در هر پرداخت اینترنتی الزام‌آور است را غیرممکن می‌کند. به این معنا که اگر مجرم سایبری به رمز دوم یک‌بار مصرف و اطلاعات کارت‌بانکی افراد از هر طریقی دسترسی پیدا کند با توجه به اینکه رمز باطل‌شده، دیگر نمی‌تواند با این اطلاعات به‌حساب بانکی افراد دسترسی داشته باشد و از آن برداشت کند.

ابهاماتی که فعلا باقی است

یکی از چالش‌های مهم که در روند اجرای طرح ارایه رمزهای دوم یک‌بار مصرف وجود دارد، اجبار برخی بانک‌ها برای نصب نرم‌افزار اختصاصی این بانک‌ها برای استفاده از رمزهای یک‌بار مصرف است، در واقع، بانک‌ها قصد دارند با اجبار به نصب نرم‌افزارها، مشتریان را ترغیب به استفاده از سایر خدمات بانک مانند تراکنش‌های مالی کنند تا برای آنها درآمدزایی داشته باشد؛‌ گفته می‌شود برخی از نرم‌افزارهای مربوط به رمز یک‌بار مصرف به عکس‌ها و فیلم‌ها و موقعیت مکانی کاربر دسترسی دارند که این مساله ناقض حریم خصوصی کاربران است و موجی از اعتراض را به دنبال داشته است.

**حال سوال اینجاست که چنانچه یک مشتری دارای تعداد زیادی کارت بانکی باشد و اساسا تمایلی به نصب اپلیکیشن‌های متعدد روی گوشی خود نداشته باشد تکلیف چیست؟ آیا راه‌های دیگری همچون کدهای USSD یا ارسال پیامک برای دریافت رمز یک‌بار مصرف وجود ندارد؟ آیا بهتر نبود تمامی بانک‌ها یک برنامه واحد ارایه می‌دادند تا باعث سردرگمی مردم نشوند؟ تکلیف افرادی که گوشی هوشمند ندارند یا سیستم‌عامل اندروید آنها نسخه پایینی دارد،‌ چیست؟ با مشکلاتی که برای نصب اپلیکیشن‌ها روی گوشی‌های آیفون پیش آمده آیا فکری برای دارندگان گوشی‌های آیفون شده است؟ **

در همین زمینه کارشناسان هشدار داده‌اند که کلاهبرداران به دنبال سرقت اطلاعات رمز یک‌بار مصرف از طریق تماس تلفنی خواهند بود بنابراین مشتریان بانک‌‌ها به تلفن‌هایی که مشخصا با هدف راهنمایی برای فعال‌سازی رمز یک‌بار مصرف با آنها برقرار می‌شود و اپراتور در این تماس‌ها از آنها می‌خواهد پیامکی که حاوی رمز یک‌بار مصرف است را برایش بخواند،‌ توجهی نکنند.

جزئیات فرایند اجرایی OTP

اما هفته گذشته و با بالاگرفتن ابهامات پیرامون اجرای رمزهای دوم یک‌بار مصرف که از اول خردادماه اجرایی می‌شود، ناصر حکیمی، معاون فناوری‌های نوین بانک مرکزی با حضور در یک بخش خبری تلویزیونی برخی از جزئیات این طرح را تشریح کرد.

معاون فناوری‌های نوین بانک مرکزی با اعلام جزئیات فرایند رمز یک‌بار مصرف بانکی، گفت: بانک‌ها از اول خرداد برای ارایه رمز یک‌بار مصرف باید آماده باشند اما مشتریان نگران نباشند زيرا می‌توانند به‌تدریج این خدمت را دریافت کنند.

وی تاکید کرد: از چند سال قبل که موضوع برداشت‌های غیرمجاز از حساب‌های بانکی رو به افزایش گذاشته بود، به دنبال راهکاری در این زمینه بودیم که امروز یکی از این راهکارها در قالب رمز یک‌بار مصرف ارایه خواهد شد.

حکیمی افزود: کار از طریق تماس خود بانک با مشتری انجام می‌شود و بانک به مشتری اطلاع می‌دهد و ایجاد زمینه رمز یک‌بار مصرف از طریق مراجعه به شعبه و نصب نرم‌افزار امکان‌پذیر می‌شود. نحوه عملکرد بانک‌ها در این زمینه متفاوت است و ما مسیر را ساده خواهیم کرد.

این مقام مسوول در بانک مرکزی تصریح کرد: این فرایند هیچ هزینه‌ای برای مردم ندارد و بابت تغییر فاز رمز نباید هزینه‌ای پرداخت شود.

معاون فناوری‌های نوین بانک مرکزی تصریح کرد: برخی از پیاده‌سازی‌های رمز یک‌بار مصرف بر اساس گوشی‌های هوشمند بوده و در بخشنامه‌ای که بانک مرکزی منتشر کرده ابلاغ شده که نباید محدود به یک برنامه‌ کاربردی باشد زيرا برخی گوشی‌های هوشمند محدودیت نصب برنامه دارد و تعداد زیادی از مردم نیز گوشی هوشمند ندارند.

وی در مورد نگرانی کسب‌و‌کارهای نوپا و استارت‌آپ‌ها توضیح داد: تراکنش خرید شارژ و پرداخت قبض از طریق تلفن‌بانک و اینترنت‌بانک مشمول رمز یک‌بار مصرف نمی‌شود، همچنین این امکان برای کسب‌و‌کارهای نوپا اندیشیده شده که تا سقف 500 هزار تومان در روز با همان رمز ایستا قابل برداشت باشد و برای بالاتر از این مبلغ بانک به مشتری اعلام می‌کند که ظرف مدت اعلام شده رمز یک‌بار مصرف بگیرد که خطری متوجه حساب مشتری نشود.

معاون فناوری‌های نوین بانک مرکزی افزود: سقف 500 هزار تومان گذاشته شده که اگر خطری بابت رمز ایستا متوجه مردم شد در حد همان 500 هزار تومان در روز باقی بماند و شخص بتواند جلوی حساب را ببندد.

وی با تاکید بر اینکه رمز ایستا برای زیر 500 هزار تومان به قوت خود باقی است، افزود: در مورد بحث فرصت 60 ثانیه نیز این مدل توسط یکی از بانک‌ها پیاده‌سازی شده و امکان افزایش دارد یا می‌توان روش‌های دیگری را انجام داد. راه‌های مختلفی وجود دارد که در طول مسیری که از اول خرداد به بعد به جلو خواهیم رفت به ترتیب در مورد روش‌های آن اطلاع‌رسانی می‌کنیم.

وی با تاکید بر اینکه اول خرداد زمانی است که برای بانک‌ها اعلام شده و مردم نگران نباشند، گفت: اگر از اول خرداد بانک آماده ارايه این سرویس به مردم نباشد باید خسارت‌ها را به مشتری پرداخت کند.

بانک‌ها مسوول امنیت مشتریان شدند

بانک مرکزی هفته گذشته در بخشنامه‌ای 6 بندی تصریح کرد كه از ابتدای خردادماه بانک‌ها مسوول تامین امنیت مشتریان در تراکنش‌های بدون حضور کارت هستند، رمز دوم یک‌بار مصرف خدمتی رایگان و برای افزایش امنیت است و به منظور پشتیبانی حداکثری از مشتریان ضرورت دارد امکانات ارایه رمز محدود به استفاده از برنامه‌های کاربردی گوشی‌های هوشمند نشده و ارایه آن از طریق سایر ابزارها نظیر پیامک، پیام‌رسان‌های داخلی مجاز و نظایر آن برای مشتریان بانک‌ها نیز حسب تشخیص بانک فعال شود.